Organi statutari
Aziende associate
|
Organi statutari |
Aziende associate |
|
Privacy e Sicurezza
dati informatici |
||||||
| Organo
di controllo: GARANTE SULLA PRIVACY |
Valutazione
Gratuita Conformità DPR 318/99 |
INFO udl@nuoviprogetti.com |
||||
|
Link Utili |
||||||
Autorizzazione al trattamento dei dati sensibili da parte
di diverse categorie di titolari.
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 20 settembre 2000
(Provvedimento n. 5/2000)
(G.U. n. 229 del 30.09.2000)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof.
Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vicepresidente, del
prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti, e del dott.
Giovanni Buttarelli, segretario generale;
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed
integrazioni, in materia di tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali;
Visto, in particolare, l'art. 22, comma 1, della citata legge n. 675/1996, il
quale individua come "sensibili" i dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
Visto l'art. 22, comma 3 e comma 3-bis, della medesima legge, rispettivamente
modificato e introdotto dall'art. 5 del decreto legislativo 11 maggio 1999, n.
135;
Considerato che i soggetti privati e gli enti pubblici economici possono
trattare tali dati solo previa autorizzazione di questa Autorità e con il
consenso scritto degli interessati;
Considerato che il Garante può rilasciare l'autorizzazione anche d'ufficio, nei
confronti di singoli titolari oppure, con provvedimenti generali, nei riguardi
di determinate categorie di titolari o di trattamenti (art. 41, comma 7, della
legge n. 675/1996, modificato dall'art. 4, comma 1, del decreto legislativo 9
maggio 1997, n. 123);
Vista l'autorizzazione del Garante adottata il 29 settembre 1999 relativa al
trattamento dei dati sensibili da parte di diverse categorie di titolari,
pubblicata nella Gazzetta Ufficiale della Repubblica italiana il 2 ottobre 1999
e avente efficacia fino al 30 settembre 2000;
Visti i risultati positivi conseguiti con le autorizzazioni generali rilasciate
negli anni precedenti, che sono risultate uno strumento idoneo per prescrivere
ed uniformare le misure e gli accorgimenti a garanzia degli interessati, tenendo
conto dei diritti e degli interessi meritevoli di tutela degli operatori che
verrebbero penalizzati dalla necessaria richiesta di singoli provvedimenti
autorizzatori;
Ritenuto, pertanto, opportuno rilasciare nuove autorizzazioni generali anche al
fine di proseguire la semplificazione degli adempimenti che la legge n. 675/1996
pone a carico di determinate categorie di titolari, nonché di assicurare una
migliore funzionalità dell'ufficio del Garante e di armonizzare le prescrizioni
da impartire con le autorizzazioni, alla luce dell'esperienza maturata;
Ritenuto opportuno che tali nuove autorizzazioni provvisorie siano a tempo
determinato, in conformità a quanto previsto dal regolamento concernente
l'organizzazione e il funzionamento dell'ufficio di questa Autorità emanato con
decreto del Presidente della Repubblica 31 marzo 1998, n. 501;
Ritenuta la necessità che anche le nuove autorizzazioni prendano in
considerazione le finalità dei trattamenti, le categorie di dati, di
interessati e di destinatari della comunicazione e della diffusione, nonché il
periodo di conservazione dei dati stessi, in quanto la disciplina di tali
aspetti è prevista dalla legge n. 675/1996 ai fini dell'applicazione delle
norme sull'esonero dall'obbligo della notificazione e sulla notificazione
semplificata (art. 7, comma 5-quater);
Considerata la necessità di garantire il rispetto di alcuni princìpi volti a
ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero
comportare per i diritti e le libertà fondamentali, nonché per la dignità
delle persone, specie per quanto riguarda la riservatezza e l'identità
personale, principi valutati anche sulla base delle raccomandazioni adottate in
materia dal Consiglio d'Europa;
Considerato che numerosi trattamenti di dati sensibili sono effettuati da
persone fisiche o giuridiche operanti nei rami assicurativo, previdenziale,
assistenziale, bancario, finanziario e di intermediazione finanziaria, nel
settore turistico e del trasporto di persone, delle ricerche di mercato, dei
sondaggi di opinione o della selezione del personale, nonché della mediazione a
fini matrimoniali, e che è pertanto necessario che tali trattamenti formino
oggetto di un'autorizzazione generale ai sensi dell'art. 41, comma 7, della
legge n. 675/1996;
Visto l'art. 35 della legge n. 675/1996 che sanziona penalmente la violazione
delle prescrizioni della presente autorizzazione;
Visto il regolamento recante norme sulle misure minime di sicurezza previsto
dall'art. 15, comma 2, della legge n. 675/1996 e adottato con decreto del
Presidente della Repubblica 28 luglio 1999, n. 318;
Visto l'art. 14 del decreto del Presidente della Repubblica 31 marzo 1998, n.
501;
Visti gli atti d'ufficio;
Viste le osservazioni dell'ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n.
15 del 28 giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica
italiana n. 162 del 13 luglio 2000;
Relatore l'ing. Claudio Manganelli;
Autorizza il trattamento dei dati sensibili di cui all'art. 22, comma 1, della legge n. 675/1996, fatta eccezione dei dati idonei a rivelare la vita sessuale, secondo le prescrizioni di seguito indicate.
CAPO I
ATTIVITÀ BANCARIE, CREDITIZIE, ASSICURATIVE, DI GESTIONE DEI FONDI, DEL
TRASPORTO
1) Soggetti ai quali è rilasciata
l'autorizzazione:
a) imprese autorizzate all'esercizio dell'attività
bancaria e creditizia o assicurativa ed organismi che le riuniscono, anche se in
stato di liquidazione coatta amministrativa;
b) società ed altri organismi che gestiscono
fondi-pensione o di assistenza, ovvero fondi o casse di previdenza;
c) società ed altri organismi di intermediazione
finanziaria, in particolare per la gestione o l'intermediazione di fondi comuni
di investimento o di valori mobiliari;
d) società ed altri organismi che emettono carte di
credito o altri mezzi di pagamento, o che ne gestiscono le relative operazioni;
e) imprese che svolgono autonome attività strettamente
connesse e strumentali a quelle indicate nelle precedenti lettere, e relative
alla rilevazione dei rischi, al recupero dei crediti, a lavorazioni massive di
documenti, alla trasmissione dati, all'imbustamento o allo smistamento della
corrispondenza, nonché alla gestione di esattorie o tesorerie;
f) imprese che operano nel settore turistico o
alberghiero o del trasporto, agenzie di viaggio e operatori turistici.
2) Finalità del trattamento.
La presente autorizzazione è rilasciata, anche
senza richiesta, limitatamente ai dati e alle operazioni indispensabili per
adempiere agli obblighi anche precontrattuali che i soggetti di cui al punto 1)
assumono, nel proprio settore di attività, al fine di fornire specifici beni,
prestazioni o servizi richiesti dall'interessato.
L'autorizzazione è rilasciata anche per adempiere o
per esigere l'adempimento ad obblighi previsti, anche in materia fiscale, dalla
normativa comunitaria, dalla legge, dai regolamenti, o dai contratti collettivi,
o prescritti da autorità od organi di vigilanza o di controllo nei casi
indicati dalla legge o dai regolamenti.
Il trattamento avente tali finalità può riguardare
anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e
di altri documenti necessari per espletare compiti di organizzazione o di
gestione amministrativa di imprese, società, cooperative o consorzi.
3) Interessati ai quali i dati si riferiscono
e categorie di dati trattati.
Il trattamento può riguardare i dati sensibili
attinenti ai soggetti ai quali sono forniti i beni, le prestazioni o i servizi,
in misura strettamente pertinente a quanto specificamente richiesto
dall'interessato che abbia manifestato il proprio consenso scritto ed informato.
Nei medesimi limiti, è possibile trattare dati relativi a terzi, allorché non
sia altrimenti possibile procedere alla fornitura al beneficiario dei beni,
delle prestazioni o dei servizi.
Qualora il consenso sia richiesto nei confronti di
distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi
specificamente a ciascuno di essi.
4) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati nei
limiti strettamente pertinenti al perseguimento delle finalità di cui al punto
2), a soggetti pubblici o privati, ivi compresi fondi e casse di previdenza ed
assistenza o società controllate e collegate ai sensi dell'art. 2359 del codice
civile, nonché, ove necessario, ai familiari dell'interessato.
I titolari del trattamento, anche ai fini
dell'eventuale comunicazione ad altri titolari delle modifiche apportate ai dati
in accoglimento di una richiesta dell'interessato (art. 13, comma 1, lettera c),
n. 4) legge n. 675/1996), devono conservare un elenco dei destinatari delle
comunicazioni effettuate, recante un'annotazione delle specifiche categorie di
dati comunicati.
I dati sensibili non possono essere diffusi.
CAPO II
SONDAGGI E RICERCHE
1) Soggetti ai quali è rilasciata
l'autorizzazione e finalità del trattamento.
Imprese, società, istituti ed altri organismi o
soggetti privati, ai soli fini del compimento di sondaggi di opinione, di
ricerche di mercato o di altre ricerche campionarie.
Il sondaggio o la ricerca devono essere effettuati per
scopi puntualmente determinati e legittimi, noti all'interessato.
2) Interessati ai quali i dati si riferiscono
e categorie di dati trattati.
Il trattamento può riguardare i dati attinenti ai
soggetti che abbiano manifestato il proprio consenso informato e che abbiano
risposto a questionari o ad interviste effettuate nell'ambito di sondaggi di
opinione, di ricerche di mercato o di altre ricerche campionarie.
Il consenso deve essere manifestato in ogni caso per
iscritto.
I dati personali di natura sensibile possono essere
trattati solo se il trattamento di dati anonimi non permette al sondaggio o alla
ricerca di raggiungere i suoi scopi.
3) Conservazione dei dati.
Il trattamento successivo alla raccolta non deve
permettere di identificare gli interessati, neanche indirettamente, mediante un
riferimento ad una qualsiasi altra informazione.
I dati personali, individuali o aggregati, devono
essere distrutti o resi anonimi subito dopo la raccolta, e comunque non oltre la
fase contestuale alla registrazione dei campioni raccolti. La registrazione deve
essere effettuata senza ritardo anche nel caso in cui i campioni siano stati
raccolti in numero elevato.
Entro tale ambito temporale, resta ferma la possibilità
per il titolare della raccolta, nonché per i suoi responsabili o incaricati, di
utilizzare i dati personali al fine di verificare presso gli interessati la
veridicità o l'esattezza dei campioni.
4) Comunicazione dei dati.
I dati sensibili non possono essere né comunicati
né diffusi.
I campioni del sondaggio o della ricerca possono essere
comunicati o diffusi in forma individuale o aggregata, sempreché non possano
essere associati, anche a seguito di trattamento, ad interessati identificati o
identificabili.
CAPO III
ATTIVITÀ DI ELABORAZIONE DI DATI
1) Soggetti ai quali è rilasciata
l'autorizzazione.
Imprese, società, istituti ed altri organismi o
soggetti privati, titolari autonomi di un'attività svolta nell'interesse di
altri soggetti, e che presuppone l'elaborazione di dati ed altre operazioni di
trattamento eseguite in materia di lavoro ovvero a fini contabili, retributivi,
previdenziali, assistenziali e fiscali.
2) Prescrizioni applicabili.
Il trattamento è regolato dalle autorizzazioni:
a) n. 1 /2000, rilasciata il 20 settembre 2000,
concernente il trattamento dei dati sensibili a cura, in particolare, delle
parti di un rapporto di lavoro qualora le finalità perseguite siano quelle
indicate al punto 3) di tale autorizzazione;
b) n. 4/2000, rilasciata il 20 settembre 2000,
riguardante il trattamento dei dati sensibili ad opera dei liberi professionisti
e di altri soggetti equiparati, qualora le finalità perseguite siano quelle
indicate al punto 3) di tale autorizzazione.
Qualora il consenso sia richiesto nei confronti di
distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi
specificamente a ciascuno di essi.
CAPO IV
ATTIVITÀ DI SELEZIONE DEL PERSONALE
1) Soggetti ai quali è rilasciata
l'autorizzazione e finalità del trattamento.
La presente autorizzazione è rilasciata, anche
senza richiesta, alle imprese, alle società, agli istituti e agli altri
organismi o soggetti privati, titolari autonomi di un'attività svolta anche di
propria iniziativa nell'interesse di terzi, ai soli fini della ricerca o della
selezione di personale.
2) Interessati ai quali i dati si riferiscono
e categorie di dati trattati.
Il trattamento può riguardare i dati idonei a
rivelare lo stato di salute e l'origine razziale ed etnica dei candidati
all'instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro
raccolta è giustificata da scopi determinati e legittimi ed è strettamente
indispensabile per instaurare tale rapporto.
Il trattamento dei dati idonei a rivelare lo stato di
salute dei familiari o dei conviventi dei candidati è consentito con il
consenso scritto degli interessati e qualora sia finalizzato al riconoscimento
di uno specifico beneficio in favore dei candidati, in particolare ai fini di
un'assunzione obbligatoria o del riconoscimento di un titolo derivante da
invalidità o infermità, da eventi bellici o da ragioni di servizio.
Qualora il consenso sia richiesto nei confronti di
distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi
specificamente a ciascuno di essi.
Il trattamento deve riguardare le sole informazioni
strettamente pertinenti a tale finalità, sia in caso di risposta a questionari
inviati anche per via telematica, sia nel caso in cui i candidati forniscano
dati di propria iniziativa, in particolare attraverso l'invio di curricola.
Non è consentito il trattamento dei dati
a) idonei a rivelare le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni a carattere religioso, filosofico, politico o sindacale,
e la vita sessuale;
b) inerenti a fatti non rilevanti ai fini della
valutazione dell'attitudine professionale del lavoratore;
c) in violazione delle norme in materia di pari
opportunità o volte a prevenire discriminazioni.
3) Comunicazione e diffusione dei dati.
I dati idonei a rivelare lo stato di salute e
l'origine razziale ed etnica possono essere comunicati nei limiti strettamente
pertinenti al perseguimento delle finalità di cui ai punti 1) e 2), a soggetti
pubblici o privati che siano specificamente menzionati nella dichiarazione di
consenso dell'interessato.
I dati sensibili non possono essere diffusi.
CAPO V
MEDIAZIONE A FINI MATRIMONIALI
1) Soggetti ai quali è rilasciata
l'autorizzazione.
La presente autorizzazione è rilasciata, anche
senza richiesta, alle imprese, alle società, agli istituti e agli altri
organismi o soggetti privati che esercitano, anche attraverso agenzie
autorizzate, un'attività di mediazione a fini matrimoniali o di instaurazione
di un rapporto di convivenza.
2) Finalità del trattamento.
L'autorizzazione è rilasciata, anche senza
richiesta, ai soli fini dell'esecuzione dei singoli incarichi conferiti in
conformità alle leggi e ai regolamenti.
3) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i soli dati
sensibili attinenti alle persone direttamente interessate al matrimonio o alla
convivenza.
Non è consentito il trattamento di dati relativo a
persone minori di età in base all'ordinamento del Paese di appartenenza o,
comunque, in base alla legge italiana.
4) Categorie di dati oggetto di trattamento.
Il trattamento può riguardare i soli dati e le
sole operazioni che risultino indispensabili in relazione allo specifico profilo
o alla personalità descritto o richiesto dalle persone interessate al
matrimonio o alla convivenza.
I dati devono essere forniti personalmente dai medesimi
interessati.
L'informativa preliminare al consenso scritto deve
porre in particolare evidenza le categorie di dati trattati e le modalità della
loro comunicazione a terzi.
5) Comunicazione dei dati.
I dati possono essere comunicati nei limiti
strettamente pertinenti all'esecuzione degli specifici incarichi ricevuti.
I titolari del trattamento, anche ai fini
dell'eventuale comunicazione ad altri titolari delle modifiche apportate ai dati
in accoglimento di una richiesta dell'interessato (art. 13, comma 1, lettera c),
n. 4), della legge n. 675/1996), devono conservare un elenco dei destinatari
delle comunicazioni effettuate, recante un'annotazione delle specifiche
categorie di dati comunicati.
L'eventuale diffusione anche per via telematica di
taluni dati sensibili deve essere oggetto di apposita autorizzazione di questa
Autorità.
6) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla
legge e dai regolamenti, in particolare nell'ambito della legge penale e della
disciplina di pubblica sicurezza, nonché in materia di tutela dei minori.
CAPO VI
PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI
Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni:
1) Dati idonei a rivelare lo stato di salute.
Il trattamento dei dati idonei a rivelare lo stato
di salute deve essere effettuato anche nel rispetto dell'autorizzazione n.
2/2000, rilasciata il 20 settembre 2000.
Il trattamento dei dati genetici non è consentito nei
casi previsti dalla presente autorizzazione.
2) Modalità di trattamento.
Fermi restando gli obblighi previsti dagli articoli
9, 15, 17 e 28 della legge n. 675 / 1996 e dal decreto del Presidente della
Repubblica n. 318/1999, concernenti i requisiti dei dati personali, la sicurezza
e i limiti posti ai trameno automatizzati volti a definire il profilo o la
personalità degli interessati, nonché il trasferimento all'estero dei dati, il
trattamento dei dati sensibili deve essere effettuato unicamente con logiche e
forme di organizzazione dei dati strettamente correlate alle finalità indicate
nei capi che precedono.
Resta inoltre fermo l'obbligo di informare
l'interessato, ai sensi dell'art. 10, commi 1 e 3, della legge n. 675/1996,
anche quando i dati sono raccolti presso terzi.
3) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto
dall'art. 9, comma 1, lettera e), della legge 31 dicembre 1996, n. 675, i dati
sensibili possono essere conservati per un, periodo non superiore a quello
necessario per perseguire le finalità ovvero per adempiere agli obblighi o agli
incarichi menzionati nei precedenti capi, verificando anche periodicamente la
stretta pertinenza e la non eccedenza dei dati trattati.
Restano fermi i diversi termini di conservazione
previsti dalle leggi o dai regolamenti.
Resta altresì fermo quanto previsto nel capo II in
materia di sondaggi e di ricerche.
4) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano
nell'ambito di applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorità, qualora il
trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che
perverranno anche successivamente alla data di adozione del presente
provvedimento, devono intendersi accolte nei termini di cui al provvedimento
medesimo.
Il Garante non prenderà in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni
del presente provvedimento, salvo che il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non considerate
nella presente autorizzazione.
5) Norme finali.
Restano fermi gli obblighi previsti dalla normativa
comunitaria, da norme di legge o di regolamento che stabiliscono divieti o
limiti più restrittivi in materia di trattamento di dati personali e, in
particolare:
a) dalla legge 20 maggio 1970, n. 300;
b) dalla legge 5 giugno 1990, n. 135.
Restano altresì fermi gli obblighi deontologici, nonché
gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego
a proprio o altrui profitto delle notizie coperte dal segreto professionale.
Resta ferma, infine, la possibilità di diffondere dati
anonimi anche aggregati.
6) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere
dal 1° ottobre 2000, fino al 31 dicembre 2001.
