IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe
Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in
materia di protezione dei dati
personali;
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti
privati e gli enti pubblici economici
possono trattare i dati sensibili solo previa autorizzazione di questa Autorità
e, ove necessario, con il
consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti
stabiliti dal Codice, nonché
dalla legge e dai regolamenti;
Visto altresì il comma 4, lett. a), del citato art. 26, il quale stabilisce
che i dati sensibili possono essere
oggetto di trattamento anche senza consenso, previa autorizzazione del Garante,
«quando il trattamento
è effettuato da associazioni, enti ed organismi senza scopo di lucro, anche non
riconosciuti, a carattere
politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti
politici, per il perseguimento di
scopi determinanti e legittimi individuati dall'atto costitutivo, dallo statuto
o dal contratto collettivo,
relativamente ai dati personali degli aderenti o dei soggetti che in relazione a
tali finalità hanno contatti
regolari con l'associazione, ente od organismo, sempre che i dati non siano
comunicati all'esterno o
diffusi e l'ente, associazione od organismo determini idonee garanzie
relativamente ai trattamenti
effettuati, prevedendo espressamente le modalità di utilizzo dei dati con
determinazione resa nota agli
interessati all'atto dell'informativa ai sensi dell'articolo 13»;
Visto il comma 3, lettere a) e b), del predetto art. 26, il quale stabilisce
che la disciplina di cui al relativo
comma 1 non si applica al trattamento: a) dei dati relativi agli aderenti alle
confessioni religiose e ai
soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno
contatti regolari con le
medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente
riconosciuti, sempre che i
dati non siano diffusi o comunicati fuori delle medesime confessioni; b) dei
dati riguardanti l'adesione di
associazioni od organizzazioni a carattere sindacale o di categoria ad altre
associazioni, organizzazioni o
confederazioni a carattere sindacale o di categoria;
Rilevato che le confessioni di cui alla lettera a) devono determinare, ai
sensi del medesimo art. 26,
comma 3, lett. a), idonee garanzie relativamente ai trattamenti effettuati, nel
rispetto dei principi indicati
al riguardo con autorizzazione del Garante;
Visto l'art. 181, comma 6, del Codice secondo cui le confessioni religiose
che, prima dell'adozione del
medesimo Codice, abbiano determinato e adottato nell'ambito del rispettivo
ordinamento le garanzie di
cui al predetto art. 26, comma 3, lett. a), possono proseguire l'attività di
trattamento nel rispetto delle
medesime;
Considerato che il trattamento dei dati in questione può essere autorizzato
dal Garante anche d'ufficio
con provvedimenti di carattere generale, relativi a determinate categorie di
titolari o di trattamenti (art.
40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate
sono risultate uno strumento
idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo
altresì superflua la richiesta
di singoli provvedimenti di autorizzazione da parte di numerosi titolari del
trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle
in scadenza il 31 dicembre
2005, armonizzando le prescrizioni già impartite alla luce dell’esperienza
maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a
tempo determinato, ai sensi
dall'art. 41, comma 5, del Codice e, in particolare, efficaci per il periodo di
diciotto mesi;
Considerata la necessità di garantire il rispetto di alcuni principi volti a
ridurre al minimo i rischi di danno
o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà
fondamentali, nonché per la
dignità delle persone, e in particolare, per il diritto alla protezione dei dati
personali sancito all'art. 1 del
Codice;
Considerato che un elevato numero di trattamenti di dati sensibili è
effettuato da enti ed organizzazioni
di tipo associativo e da fondazioni, per la realizzazione di scopi determinati e
legittimi individuati dall'atto
costitutivo, dallo statuto o da un contratto collettivo;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati
in violazione della disciplina
rilevante in materia di trattamento di dati personali non possono essere
utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui
all'Allegato B) al medesimo Codice,
recanti norme e regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento
del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
Autorizza
il trattamento dei dati sensibili di cui art. 4, comma 1, lett. d), del
Codice da parte di associazioni,
fondazioni, comitati ed altri organismi di tipo associativo, secondo le
prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i
programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da
escluderne il trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate
mediante, rispettivamente, dati anonimi od opportune modalità che permettano di
identificare
l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
1) Ambito di applicazione
La presente autorizzazione è rilasciata:
a) alle associazioni anche non riconosciute, ai partiti e ai movimenti
politici, alle
associazioni e alle organizzazioni sindacali, ai patronati e alle associazioni
di categoria, alle
casse di previdenza, alle organizzazioni assistenziali o di volontariato, nonché
alle
federazioni e confederazioni nelle quali tali soggetti sono riuniti in
conformità, ove
esistenti, allo statuto, all'atto costitutivo o ad un contratto collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo
senza scopo di
lucro, dotati o meno di personalità giuridica, ivi comprese le organizzazioni
non lucrative di
utilità sociale (Onlus);
c) alle cooperative sociali e alle società di mutuo soccorso di cui,
rispettivamente, alle leggi
8 novembre 1991, n. 381 e 15 aprile 1886, n. 3818.
L'autorizzazione è rilasciata altresì agli istituti scolastici anche di tipo
non associativo, limitatamente al
trattamento dei dati idonei a rivelare le convinzioni religiose e per le
operazioni strettamente necessarie
per l'applicazione dell'articolo 310 del decreto legislativo 16 aprile 1994, n.
297 e degli artt. 3 e 10 del
decreto legislativo 19 febbraio 2004, n. 59.
Resta fermo l'obbligo per le confessioni religiose di determinare, ai sensi
dell'art. 26, comma 3, lett. a)
del Codice, idonee garanzie relativamente ai trattamenti effettuati nel rispetto
dei principi indicati con la
presente autorizzazione.
Ai sensi dell'art. 181, comma 6, del Codice, le confessioni religiose che,
prima dell'adozione del
medesimo Codice, abbiano determinato e adottato nell'ambito del rispettivo
ordinamento le garanzie di
cui all'art. 26, comma 3, lett. a), del Codice possono proseguire l’attività di
trattamento effettuato dai
relativi organi, ovvero da enti civilmente riconosciuti, nel rispetto delle
medesime..
2) Finalità del trattamento
L'autorizzazione è rilasciata per il perseguimento di scopi determinati e
legittimi individuati dall'atto
costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in
particolare per il perseguimento di
finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di
tipo non professionistico, di
istruzione anche con riguardo alla libertà di scelta dell'insegnamento
religioso, di formazione, di ricerca
scientifica, di patrocinio, di tutela dell'ambiente e delle cose d'interesse
artistico e storico, di salvaguardia
dei diritti civili, nonché di beneficenza, assistenza sociale o socio-sanitaria.
La presente autorizzazione è rilasciata, altresì, per far valere o difendere
un diritto anche da parte di un
terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di
arbitrato e di conciliazione
nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o
dai contratti collettivi.
La presente autorizzazione è rilasciata per l'esercizio del diritto di
accesso ai documenti amministrativi,
nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia.
Per i fini predetti, il trattamento dei dati sensibili può riguardare anche
la tenuta di registri e scritture
contabili, di elenchi, di indirizzari e di altri documenti necessari per la
gestione amministrativa
dell'associazione, della fondazione, del comitato o del diverso organismo, o per
l'adempimento di
obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
Qualora i soggetti di cui alle lettere a), b) e c) si avvalgano di persone
giuridiche o di altri organismi con
scopo di lucro o di liberi professionisti per perseguire le predette finalità,
ovvero richiedano ad essi la
fornitura di beni, prestazioni o servizi, la presente autorizzazione è
rilasciata anche ai medesimi
organismi, persone giuridiche o liberi professionisti.
I soggetti di cui alle lettere a), b) e c) possono comunicare alle persone
giuridiche e agli organismi con
scopo di lucro titolari di un autonomo trattamento, i soli dati sensibili
strettamente indispensabili per le
attività di effettivo ausilio alle predette finalità, con particolare
riferimento alle generalità degli interessati
e ad indirizzari, sulla base di un atto scritto che individui con precisione le
informazioni comunicate, le
modalità del successivo utilizzo, le particolari misure di sicurezza, nonché,
ove previsto, le idonee
garanzie determinate. La dichiarazione scritta di consenso degli interessati
deve porre tale circostanza in
particolare evidenza e deve recare la precisa menzione dei titolari del
trattamento e delle finalità da essi
perseguite. Le persone giuridiche e gli organismi con scopo di lucro, oltre a
quanto previsto nei punti 4) e
6) in tema di pertinenza, non eccedenza e indispensabilità dei dati, possono
trattare i dati così acquisiti
solo per scopi di ausilio alle finalità predette, ovvero per scopi
amministrativi e contabili.
3) Interessati ai quali i dati si riferiscono
Il trattamento può riguardare i dati sensibili attinenti:
a) agli associati, ai soci e, se strettamente indispensabile per il
perseguimento delle
finalità di cui al punto 1), ai relativi familiari e conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che
presentano richiesta di
ammissione o di adesione o che hanno contatti regolari con l'associazione, la
fondazione o
il diverso organismo;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attività o dei servizi
prestati dall'associazione
o dal diverso organismo, limitatamente ai soggetti individuabili in base allo
statuto o
all'atto costitutivo, ove esistenti, o comunque a coloro nell’interesse dei
quali i soggetti
menzionati al punto 1) possono operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di iscrizione agli
istituti di cui al
punto 1) e, qualora si tratti di minori, ai loro genitori o a chi ne esercita la
potestà;
f) ai lavoratori dipendenti degli associati e dei soci, limitatamente ai dati
idonei a rivelare
l'adesione a sindacati, associazioni od organizzazioni a carattere sindacale e
alle
operazioni necessarie per adempiere a specifici obblighi derivanti da contratti
collettivi
anche aziendali.
4) Categorie di dati oggetto di trattamento
L'autorizzazione non riguarda i dati idonei a rivelare lo stato di salute e la
vita sessuale, ai quali si
riferisce l'autorizzazione generale n. 2/2005.
Il trattamento può avere per oggetto gli altri dati sensibili di cui
all'articolo 4, comma 1, lett. d) del
Codice, idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere,
le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso,
filosofico, politico o sindacale.
Il trattamento può riguardare i dati e le operazioni indispensabili per
perseguire le finalità di cui al punto
1) o, comunque, per adempiere ad obblighi derivanti dalla legge, dalla normativa
comunitaria, dai
regolamenti o dai contratti collettivi, che non possano essere perseguiti o
adempiuti, caso per caso,
mediante il trattamento di dati anonimi o di dati personali di natura diversa.
A tal fine, anche mediante controlli periodici, deve essere verificata
costantemente la stretta pertinenza,
non eccedenza e indispensabilità dei dati rispetto ai predetti obblighi e
finalità, in particolare per quanto
riguarda i dati che rivelano le opinioni e le intime convinzioni, anche con
riferimento ai dati che
l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle
verifiche, risultano eccedenti o
non pertinenti o non indispensabili non possono essere utilizzati, salvo per
l'eventuale conservazione, a
norma di legge, dell'atto o del documento che li contiene.
5) Modalità di trattamento
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, e dagli
articoli 31 e seguenti del
Codice e dall'allegato B) al medesimo Codice, il trattamento dei dati sensibili
deve essere effettuato
unicamente con operazioni, nonché con logiche e mediante forme di organizzazione
dei dati strettamente
indispensabili in rapporto alle finalità, agli scopi e agli obblighi di cui al
punto 2).
I dati sono raccolti, di regola, presso l'interessato.
Fermo restando quanto previsto ai punti 2) e 7) della presente
autorizzazione, se è indispensabile, in
conformità al medesimo punto 7), comunicare o diffondere dati all'esterno
dell'associazione, della
fondazione, del comitato o del diverso organismo, il consenso scritto è
acquisito previa idonea
informativa resa agli interessati ai sensi dell'art. 13 del Codice, la quale
deve precisare le specifiche
modalità di utilizzo dei dati tenuto conto delle idonee garanzie adottate
relativamente ai trattamenti
effettuati.
6) Conservazione dei dati
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e)
del Codice, i dati sensibili
possono essere conservati per un periodo non superiore a quello necessario per
perseguire le finalità e
gli scopi di cui al punto 2), ovvero per adempiere agli obblighi ivi menzionati.
Le verifiche di cui al punto 4) devono riguardare anche la pertinenza, non
eccedenza e indispensabilità
dei dati rispetto all'attività svolta dall'interessato o al rapporto che
intercorre tra l'interessato e i soggetti
di cui al punto 1), tenendo presente il genere di prestazione, di beneficio o di
servizio offerto
all'interessato e la posizione di quest'ultimo rispetto ai soggetti stessi.
7) Comunicazione e diffusione dei dati
I dati sensibili possono essere comunicati a soggetti pubblici o privati, e ove
necessario diffusi, solo se
strettamente pertinenti alle finalità, agli scopi e agli obblighi di cui al
punto 2) e tenendo presenti le altre
prescrizioni sopraindicate.
I dati sensibili possono essere comunicati alle autorità competenti se
necessario per finalità di
prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme
che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.
8) Richieste di autorizzazione
I titolari dei trattamenti che rientrano nell'ambito di applicazione della
presente autorizzazione non sono
tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora
il trattamento che si intende
effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione
del presente provvedimento, devono intendersi accolte nei termini di cui al
provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per
trattamenti da effettuarsi in
difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi
dell'art. 41 del Codice, il loro
accoglimento sia giustificato da circostanze del tutto particolari o da
situazioni eccezionali non considerate
nella presente autorizzazione.
9) Norme finali
Restano fermi gli obblighi previsti dalla normativa comunitaria, da norme di
legge o di regolamento che
stabiliscono divieti o limiti in materia di trattamento di dati personali.
Restano inoltre ferme le norme volte a prevenire discriminazioni, e in
particolare le disposizioni contenute
nel decreto-legge 26 aprile 1993, n. 122, convertito, con modificazioni, dalla
legge 25 giugno 1993, n.
205, in materia di discriminazione per motivi razziali, etnici, nazionali o
religiosi e di delitti di genocidio,
nel decreto legislativo 9 luglio 2003, n. 215 di attuazione della direttiva
2000/43/CE per la parità di
trattamento tra le persone indipendentemente dalla razza e dall'origine etnica e
nel decreto legislativo 9
luglio 2003, n. 216, di attuazione della direttiva 2000/78/CE per la parità di
trattamento in materia di
occupazione e di condizioni di lavoro.
10) Efficacia temporale e disciplina transitoria
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2006 fino al
30 giugno 2007, salve
eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di
eventuali novità
normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 21 dicembre 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
|
Autorizzazione al
trattamento dei dati sensibili nei rapporti di lavoro. (Autorizzazione n.
1/2005)
Nuove autorizzazioni al trattamento dei dati sensibili e giudiziari |
Nuove autorizzazioni al trattamento dei dati sensibili e giudiziari