Chi siamo

Dove siamo

Scopi statutari

Organi statutari

Soci

Come iscriversi

Perché iscriversi

Aziende associate

 

Privacy e Sicurezza dati informatici 
Trattamento dati personali - Trattamento dati sensibili
Organo di controllo: 
GARANTE SULLA PRIVACY		 Valutazione Gratuita 
Conformità DPR 318/99

FAQ
Domande frequenti

INFO
  udl@nuoviprogetti.com

Home UDL

Link Utili

Normativa

UDL - Il Vostro supporto in materia di PRIVACY

CONSIGLIO NAZIONALE DEI RAGIONIERI COMMERCIALISTI ED ECONOMISTI D'IMPRESA

CIRCOLARE UFFICIO STUDI

DRAFT N. 36

21 novembre 2000

 

Novità in materia di privacy

 

 

 

Premessa

1.       Le nuove autorizzazioni generali

2.        Liberi professionisti

3.       Organismi associativi e fondazioni

4.       Le misure minime di sicurezza.

 

 

Premessa

La presente circolare integra le notizie contenute nel precedente Draft n. 11/2000[1], nel quale sono stati analizzati, da un lato, gli aspetti generali della Legge 31 dicembre 1996, n. 675, contenente norme sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, dall’altro, le disposizioni inerenti l’adozione delle misure minime di sicurezza previste dall’articolo 15, secondo comma, della medesima Legge, e disciplinate dal Dpr 28 luglio 1999, n. 318.

In particolare, la presente circolare si occupa del rinnovo delle autorizzazioni generali al trattamento dei dati sensibili e dei dati a carattere giudiziario da parte di liberi professionisti, associazioni e fondazioni e del provvedimento che proroga i tempi per l’adozione delle misure minime di sicurezza.

Prima di procedere all’analisi di tali provvedimenti, si ritiene opportuno fare le seguenti precisazioni:

 

a)       per dati sensibili si intendono quei dati personali idonei a rivelare “l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale”, nonché a rivelare “lo stato di salute e la vita sessuale” (articolo 22, primo comma);

b)      per il trattamento dei dati sensibili e dei dati a carattere giudiziario (ovvero dei dati particolari), il responsabile del trattamento[2] è obbligato a richiedere il consenso scritto dell’interessato e l’autorizzazione del Garante;

c)       in luogo delle autorizzazioni individuali, il Garante, ai sensi dell’articolo 41, c. 7, ultimo periodo[3], può rilasciare anche autorizzazioni a carattere generale, valevoli cioè per intere categorie di titolari o per categorie di dati.

 

1.       Le nuove autorizzazioni generali

Le precedenti autorizzazioni generali al trattamento dei dati sensibili e dei dati a carattere giudiziario hanno perso efficacia il 30 settembre 2000, dopo un anno dalla loro emanazione. Poiché tali autorizzazioni hanno consentito di semplificare e accelerare gli adempimenti in materia di tutela della privacy, il Garante ha ritenuto opportuno procedere al loro rinnovo. La decisione del Garante prende atto anche del fatto che le autorizzazioni generali, prescrivendo misure e accorgimenti uniformi, offrono una maggiore garanzia sia agli interessati sia ai responsabili del trattamento dei dati sensibili e/o giudiziari.

I responsabili del trattamento, in particolare, possono adempiere le prescrizioni contenute nella Legge sulla privacy con maggiore celerità, saltando la fase della richiesta di un’autorizzazione individuale al Garante. Le autorizzazioni generali, tuttavia, non esentano i responsabili dal richiedere il consenso scritto degli interessati, nel caso in cui procedano al trattamento di dati particolari relativi a questi ultimi.

In particolare sei dei nuovi provvedimenti autorizzatori, che scadranno il 31 dicembre 2001, riguardano il trattamento dei dati sensibili da parte di:

 

·         tutti i datori di lavoro o equiparati[4];

·         organismi sanitari e soggetti comunque titolari di trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale[5];

·         organismi di tipo associativo o fondazioni[6];

·         liberi professionisti[7];

·         banche, assicurazioni, ced, istituti di sondaggi e selezione personale, mediatori matrimoniali[8];

·         investigatori privati[9].

 

Uno di essi riguarda, invece, il trattamento dei dati a carattere giudiziario da parte di privati, enti pubblici economici e soggetti pubblici[10].

Le richieste di autorizzazione individuale pervenute al Garante in data anteriore al 30 settembre, o che perverranno successivamente, potranno essere accolte solo nei limiti di quanto previsto dai nuovi provvedimenti. Eventuali richieste difformi, infatti, potranno essere accolte solo se giustificate da circostanze del tutto particolari, ovvero da situazioni non considerate dai medesimi provvedimenti autorizzatori.

 

 

2.       Liberi professionisti

L'autorizzazione generale n. 4, relativa al trattamento dei dati sensibili, e la n. 7, relativa al trattamento dei dati a carattere giudiziario, riguardano espressamente i liberi professionisti iscritti in albi o elenchi professionali. Tali provvedimenti hanno un valore importante per i liberi professionisti in quanto, semplificando gli adempimenti disposti dalla Legge n. 675/1996, velocizzano lo svolgimento delle attività professionali implicanti, per natura, un elevato numero di trattamenti di dati sensibili e/o giudiziari. I liberi professionisti sono così esentati dal richiedere al Garante, di volta in volta, autorizzazioni individuali.

Di seguito si specifica l’ambito di applicazione di tali provvedimenti, i soggetti cui si riferiscono le categorie di dati (sensibili e giudiziari), le finalità del trattamento, le modalità del trattamento, la conservazione e la diffusione dei dati[11].

 

2.1.      Ambito di applicazione. Nella categoria dei liberi professionisti, a cui si riferiscono i provvedimenti che autorizzano il trattamento dei dati sensibili e dei dati giudiziari (nn. 4 e 7), sono compresi:

 

a)       i professionisti che per esercitare le relative attività, in forma individuale e associata, sono tenuti ad iscriversi in albi o elenchi professionali;

b)      i professionisti che esercitano, in forma associata, attività di consulenza ed assistenza;

c)       gli avvocati iscritti all’albo speciale, di cui all’articolo 34 del Regio Decreto Legge 27 novembre 1933, n. 1578.

 

L’autorizzazione generale al trattamento dei dati sensibili e dei dati a carattere giudiziario è rilasciata anche ai sostituti e agli ausiliari che, ai sensi dell’articolo 2232 del codice civile, collaborano con il libero professionista, ai praticanti e ai tirocinanti presso il libero professionista, qualora questi ultimi siano titolari di un trattamento autonomo o contitolari del trattamento effettuato dal professionista.

Al contrario, sono esclusi dall’ambito di applicazione del provvedimento autorizzatorio i soggetti privati che svolgono attività investigative, i giornalisti, i pubblicisti e i praticanti giornalisti, oltre a coloro per i quali il Garante ha emanato provvedimenti ad hoc (vale a dire, gli esercenti la professione sanitaria, gli psicologi, il personale infermieristico, tecnico e della riabilitazione e i datori di lavoro o equiparati).

 

2.2.      Soggetti interessati al trattamento. I liberi professionisti sono autorizzati, in via generale, al trattamento di dati sensibili che riguardano i propri clienti. Il trattamento dei dati sensibili relativi a terzi, invece, può avvenire solo entro certi limiti, ovvero solo se è strettamente indispensabile per eseguire specifiche prestazioni professionali che gli stessi clienti richiedono.

 

2.3.      Finalità del trattamento. Il trattamento dei dati sensibili relativi a clienti e a terzi può essere effettuato solo per eseguire uno degli incarichi consentiti dall’ordinamento professionale. I dati sensibili, infatti, devono essere sempre pertinenti e mai eccedenti rispetto agli incarichi professionali conferiti.

In particolare, le finalità che giustificano il trattamento dei dati sensibili sono:

 

·         la cura degli adempimenti in materia di lavoro, previdenza ed assistenza sociale e fiscale, nell’interesse di altri soggetti che sono parte di un rapporto di lavoro autonomo o dipendente;

·         la rappresentanza o la difesa di un diritto anche da parte di un terzo in sede giudiziaria, amministrativa o nelle procedure di arbitrato e di conciliazione, relativamente a casi previsti dalla normativa comunitaria, da leggi, regolamenti o da contratti collettivi;

·         lo svolgimento da parte del difensore delle investigazioni (di cui all’articolo 38 delle norme di attuazione del codice di procedura penale), anche nel caso in cui il difensore si avvalga di sostituti e consulenti del lavoro;

·         l’esercizio del diritto di accesso ai documenti amministrativi.

 

2.4.      Modalità del trattamento. Le logiche secondo cui i dati sensibili devono essere trattati e le forme di organizzazione di quei dati devono essere strettamente correlate all’incarico conferito dal cliente e devono tenere conto delle disposizioni in materia di sicurezza di cui al Dpr n. 318/99.

Il libero professionista titolare del trattamento è tenuto altresì ad informare l’interessato, ai sensi dell’articolo 10, comma primo e terzo[12], della Legge n. 675/96, anche quando i dati sono raccolti presso terzi, oltre ad acquisirne il consenso scritto.

I sostituti, gli ausiliari, i tirocinanti e i praticanti, designati dal titolare come responsabili o incaricati del trattamento possono accedere solo ai dati strettamente pertinenti alla collaborazione richiesta. Analoga cautela deve essere adottata anche in riferimento agli incaricati del trattamento preposti all’espletamento di compiti amministrativi.

 

2.5.            Conservazione, comunicazione e diffusione dei dati. I liberi professionisti devono conservare i dati sensibili, trattati nei limiti degli incarichi assegnati, per il periodo di tempo previsto dalla normativa comunitaria, dalla legge o da regolamenti. Tale periodo non deve comunque superare quello strettamente necessario per adempiere agli incarichi conferiti. I dati acquisiti in occasione di precedenti incarichi possono essere mantenuti se pertinenti e non eccedenti rispetto a successivi incarichi.

La comunicazione di dati sensibili e, ove necessario, la loro diffusione a soggetti pubblici e privati deve avvenire nel rispetto del criterio della pertinenza e, in ogni caso, nel rispetto del segreto professionale.

 

 

3.       Organismi associativi e fondazioni

Con i provvedimenti nn. 3 e 7 del 30 settembre 2000, il Garante proroga le autorizzazioni al trattamento dei dati sensibili e dei dati a carattere giudiziario effettuato da fondazioni e da organismi associativi per la realizzazione di scopi determinati e legittimi che sono stati individuati dall’atto costitutivo, dallo statuto o da un contratto collettivo.

Anche nei confronti di tali soggetti l’autorizzazione generale è rilasciata automaticamente, ovvero senza richiesta, ed ha efficacia fino al 31 dicembre 2001.

Le eventuali richieste di autorizzazione inviate al Garante in data anteriore al 30 settembre, o che perverranno successivamente a tale data, si intendono accolte solo se conformi ai suddetti provvedimenti. In caso contrario, l’accoglimento è ammesso solo se giustificato da circostanze del tutto particolari o da situazioni eccezionali tralasciate dai provvedimenti di autorizzazione generale.

 

3.1.      Ambito di applicazione. L’autorizzazione al trattamento dei dati sensibili e dei dati giudiziari riguarda in particolare:

 

a)       le associazioni anche non riconosciute, comprese quelle a carattere religioso, i partiti e i movimenti politici, le associazioni e le organizzazioni sindacali, i patronati, le associazioni di categoria, le organizzazioni assistenziali o di volontariato, nonché le relative federazioni e confederazioni;

b)      le fondazioni, i comitati ed ogni altro ente, consorzio o organismo senza scopo di lucro, dotati o meno di personalità giuridica, comprese le organizzazioni non lucrative di utilità sociale (Onlus);

c)       le cooperative sociali e le società di mutuo soccorso.

 

Nel caso in cui le associazioni e le fondazioni si avvalgano di persone giuridiche o di altri organismi con scopo di lucro, ovvero richiedano ad essi la fornitura di beni, prestazioni o servizi, l’autorizzazione generale al trattamento dei dati sensibili si estenderà anche a questi soggetti[13].

 

3.2.      Finalità del trattamento. L’autorizzazione al trattamento dei dati sensibili è rilasciata alle fondazioni e agli organismi di tipo associativo:

 

a)       per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti;

b)      per il perseguimento di finalità culturali, politiche, religiose sindacali, sportive o agonistiche di tipo non professionistico, di istruzione e altre di carattere sanitario;

c)       per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, purché il diritto da far valere sia di rango pari a quello dell’interessato;

d)       per l’esercizio del diritto di accesso ai documenti amministrativi.

 

Il trattamento dei dati sensibili può anche riguardare la tenuta dei registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa della fondazione o di altro organismo associativo, per l’adempimento di obblighi fiscali ovvero per la diffusione di riviste, bollettini e simili.

 

3.3.      Soggetti interessati al trattamento. Il trattamento di dati sensibili da parte di fondazioni e di organismi associativi può riguardare:

 

a)       gli associati, i soci e, se strettamente indispensabile per il perseguimento delle finalità indicate dal Garante, i relativi familiari;

b)      gli aderenti, i sostenitori o sottoscrittori e coloro che hanno presentato richiesta di ammissione o adesione ovvero che hanno contatti regolari con la fondazione;

c)       i beneficiari, gli assistiti e i fruitori delle attività e dei servizi prestati dall’associazione o dal diverso organismo;

d)       gli studenti iscritti o che hanno presentato domanda di iscrizione agli istituti scolastici;

e)       i lavoratori dipendenti degli associati e dei soci, limitatamente ai dati idonei a rivelare l’adesione a sindacati, associazioni o organizzazioni a carattere sindacale e alle operazioni necessarie ad adempiere a specifici obblighi derivanti da contratti collettivi anche aziendali.

 

In relazione ai soggetti di cui alle lettere a), b), c), le fondazioni sono autorizzate anche al trattamento dei dati a carattere giudiziario.

 

3.4.            Categorie di dati trattati e modalità del trattamento. L’autorizzazione al trattamento dei dati è rilasciata in relazione ai dati sensibili (ex articolo 22, Legge n. 675/1996), ai dati necessari per perseguire le finalità prescritte o comunque per adempiere ad obblighi derivanti da leggi, dalla normativa comunitaria, da regolamenti o dai contratti collettivi[14].

A tal fine, anche mediante controlli periodici, è necessario verificare costantemente la stretta pertinenza e la non eccedenza di quei dati rispetto ai predetti obblighi e finalità.

Il trattamento, infine, deve avvenire sempre nel rispetto delle norme minime di sicurezza di cui al DPR n. 318/1999 e sempre dopo aver ottenuto il consenso scritto dell’interessato.

 

3.5.            Conservazione, comunicazione e diffusione dei dati. I dati sensibili trattati dalle fondazioni devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo non superiore a quello necessario per perseguire le finalità e gli scopi indicati nel provvedimento autorizzatorio.

La conservazione, la comunicazione e la diffusione dei dati sensibili e giudiziari devono avvenire sempre nel rispetto dei criteri di pertinenza e di non eccedenza rispetto alle finalità del trattamento.

 

 

4.       Le misure minime di sicurezza

Dopo un iter parlamentare iniziato a marzo, il 10 ottobre 2000, la Camera ha definitivamente approvato la legge di sanatoria in materia di misure minime di sicurezza da adottare durante il trattamento dei dati personali.

L’articolo 15, secondo comma, della Legge n. 675/1996, infatti, ha previsto a carico del titolare del trattamento dei dati personali, sia esso un’amministrazione pubblica o un privato, l’obbligo di custodire e controllare i dati trattati per minimizzare il rischio di distruzione o perdita dei dati, anche accidentale, l’accesso non autorizzato e il trattamento non consentito o non conforme alle finalità della raccolta. Tenendo conto di ciò il Dpr n. 318/99 ha individuato misure minime di sicurezza diverse a seconda del tipo di dati gestiti (sensibili o comuni), del tipo di archivio utilizzato (cartaceo o automatizzato) e del tipo di elaboratore (connesso in rete e non e, se in rete, disponibile o meno al pubblico).

L’adozione di quelle misure sarebbe dovuta avvenire entro il 29 marzo 2000, ma i numerosi problemi applicativi hanno indotto il Parlamento a ricorrere ad una proroga, definitivamente sancita dalla Legge 3 novembre 2000, n. 325[15], contenente “Disposizioni inerenti all’adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall’articolo 15 della Legge 31 dicembre 1996, n. 675”. Il termine per l’adozione delle misure minime di sicurezza è così slittato al 31 dicembre 2000.

La proroga riguarda solo i soggetti che motivano per iscritto le ragioni che li hanno costretti a prendere tempo rispetto all’originaria scadenza del 29 marzo 2000. Tali ragioni devono essere esposte in un documento che deve essere predisposto entro il 10 dicembre 2000, con un atto avente data certa, e deve essere conservato da chi l’ha redatto[16].

Dal documento devono risultare con chiarezza gli accorgimenti da adottare o già adottati e gli elementi che caratterizzano il programma di adeguamento a tutte le misure di sicurezza previste dal Dpr n. 318/1999, nonché le singole fasi in cui esso è eventualmente ripartito. In esso dovranno, inoltre, essere indicate le linee guida che si prevede di adottare per dare piena attuazione alle misure minime di sicurezza (la cui inosservanza è sanzionata ai sensi dell'articolo 36 della Legge n. 675/1996[17]), nonché alle più ampie misure di sicurezza previste dal primo comma dell'articolo 15 della medesima Legge n. 675/1996[18].

La violazione di uno dei suddetti obblighi previsti da tale provvedimento vanifica la possibilità di beneficiare della proroga.

Con tale approvazione, la Camera ha bocciato definitivamente l’idea del Senato di prevedere una proroga in due tempi diversi, vale a dire, fino al 31 dicembre 2000, per gli inadempienti totali e, fino al 29 marzo 2001, per coloro che hanno già iniziato a mettersi in regola.

 


[1] Tale Draft, a sua volta, ha integrato la “Nota informativa” n. 006.01/97 – 018/97.

[2] Per responsabile del trattamento si intende “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali” (articolo 1, secondo comma, lett. e), Legge n. 675/1996). Il titolare, invece, è “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza” (articolo 1, secondo comma, lett. d), Legge n. 675/1996).

[3] Sostituito dall’articolo 4, primo comma, del decreto legislativo 9 maggio 1997, n. 123.

[4] Provvedimento n. 1/2000, Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro, in Gazzetta Ufficiale, 30 settembre 2000, n. 229, pag. 10.

[5] Provvedimento n. 2/2000, Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, in Gazzetta Ufficiale, cit., pag.13.

[6] Provvedimento n. 3/2000, Autorizzazione al trattamento dei dati sensibili da parte di organismi associativi e delle fondazioni, in Gazzetta Ufficiale, cit., pag.17.

[7] Provvedimento n. 4/2000, Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti, in Gazzetta Ufficiale, cit., pag. 20.

[8] Provvedimento n. 5/2000, Autorizzazioni al trattamento dei dati sensibili da parte di diverse categorie di titolari, in Gazzetta Ufficiale, cit., pag. 22.

[9] Provvedimento n. 6/2000, Autorizzazioni al trattamento dei dati sensibili da parte degli investigatori privati, in Gazzetta Ufficiale, cit., pag. 27.

[10] Provvedimento n. 7/2000, Autorizzazione al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici, in Gazzetta Ufficiale, cit., pag. 29.

[11] Le disposizioni sul trattamento dei dati sensibili si estendono anche al trattamento dei dati a carattere giudiziario, autorizzato dal provvedimento n. 7/2000.

[12] L’articolo 10, primo comma, recita: “L’interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 13; f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile”. In base al terzo comma, l’informazione deve essere data all’interessato all’atto della registrazione dei dati ovvero, qualora sia prevista la loro comunicazione, non oltre la prima comunicazione.

 

[13] Nell’ambito di applicazione delle suddette autorizzazioni sono compresi, inoltre, gli istituti scolastici anche di tipo non associativo, limitatamente al trattamento dei dati idonei a rivelare le convinzioni religiose e connesse alle operazioni necessarie ai fini dell'attuazione del diritto degli studenti se avvalersi o meno dell’insegnamento della religione cattolica (articolo 310, Dlgs 16 aprile 1994, n. 297).

[14] L'autorizzazione non riguarda i dati idonei a rivelare lo stato di salute e la vita sessuale, per i quali ha valore il provvedimento autorizzatorio n. 2/2000.

 

[15] Pubblicata in Gazzetta Ufficiale, 9 novembre 2000, n. 262. La Legge n. 325/2000 è entrata in vigore dal giorno successivo a quello della sua pubblicazione in Gazzetta Ufficiale.

[16] La versione originaria del disegno di Legge prevedeva che fosse spedito in copia autentica al Garante.

[17] L'articolo 36 della Legge n. 675/1996 prevede che "1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni. 2. Se il fatto di cui al primo comma è commesso per colpa si applica la reclusione fino ad un anno".

[18] Il primo comma dell'articolo 15 della Legge n. 675/1996 prevede che: "I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".