CAPITOLO V
Norme e provvedimenti
LE PRINCIPALI NORME CHE DISCIPLINANO
LA TUTELA DELLA PRIVACY
Questa sezione contiene le principali disposizioni di legge e regolamentari che riguardano la tutela della privacy
soprattutto in ambito aziendale:
•
•
•
•
•
•
•
•
•
Codice in materia di protezione dei dati personali (d.lgs.vo n. 196/2003)
Disciplinare tecnico (allegato B al codice)
Regolamento per l'ufficio del Garante (D.P.R. n. 501/1998)
Regolamenti per i procedimenti e i termini (deliberazioni 65 - 66/2007)
Privacy e dichiarazioni fiscali (Legge n. 135/1998)
Disciplina del collocamento e dati personali (D.P.R . n. 442/2000)
Legge Delega (Legge n. 127/2001)
Codice Deontologico dei giornalisti (allegato A1 al codice)
Codice di deontologia e di buona condotta per i sistemi informativi (allegato A al codice)
IL TRASFERIMENTO DEI DATI FUORI DALL’UNIONE EUROPEA
• Deliberazione del Garante 10 ottobre 2001 n. 35
(clausole contrattuali – tipo);
• Deliberazione del Garante 10 ottobre 2001 n. 36
(trasferimento negli USA e accordo “safe harbor”);
• Deliberazione del Garante 10 ottobre 2001 n. 37
(trasferimento dati in Svizzera);
• Deliberazione del Garante 10 ottobre 2001 n. 38
(trasferimento dati in Ungheria)
• Deliberazione del Garante 10 aprile 2002
(trasferimento dati verso responsabili in Paesi terzi)
Deliberazione 30 aprile 2003 n. 6
(trasferimento dati in Canada)
• Deliberazione del Garante 9 giugno 2005 n.12
(trasferimento dati mediante nuovo gruppo di clausole contrattuali tipo)
• Decisione della Commissione CE 5 febbraio 2010
(clausole tipo trasferimento dati a incaricati in Paesi terzi)
LE REGOLE PER IL TRATTAMENTO DEI DATI SENSIBILI
Il Garante, in attuazione della legge, ha emanato nel tempo una serie di autorizzazioni generali per il
trattamento dei dati sensibili e giudiziari: questi provvedimenti in sostanza costituiscono le linee guida per il
lecito e corretto trattamento di dati sensibili. L’azienda deve necessariamente adeguarsi a queste prescrizioni (i
testi aggiornati al 2013, valgono fino al 31 dicembre 2014):
•
•
•
•
•
•
•
Autorizzazione n. 1: rapporti di lavoro;
Autorizzazione n. 2: dati sanitari;
Autorizzazione n. 3: associazioni e fondazioni;
Autorizzazione n. 4: professionisti;
Autorizzazione n. 5: servizi ed attività varie;
Autorizzazione n. 6: investigatori privati;
Autorizzazione n. 7: trattamento dei dati giudiziari;
Autorizzazione generale n. 8: trattamento dei dati genetici;
Autorizzazione generale n. 9: trattamento dei dati personali effettuato per scopi di ricerca scientifica;
LE LINEE GUIDA PER IL TRATTAMENTO DEI DATI PERSONALI DEI LAVORATORI NEI
RAPPORTI DI LAVORO PRIVATI
Il Garante ha emanato un provvedimento generale (23.11.2006 n.53, in GU n.285 del 7.12.2006) in cui riassume
tutte le regole e le prescrizioni, già espresse in precedenti pronunce, per una corretta gestione dei dati personali
dei dipendenti nel rapporto di lavoro.
• Linee guida del Garante;
LE LINEE GUIDA PER L’UTILIZZO DELLA POSTA ELETTRONICA E DI INTERNET
Il Garante ha emanato un provvedimento destinato ai datori di lavoro ( 1.3.2007 in GU n. 58 del 10.3.2007) in
cui ha affrontato le problematiche relative all’utilizzo nel rapporto di lavoro della posta elettronica e della rete
Internet, nonché ai limiti delle verifiche che i datori di lavoro possono compiere per accertare la correttezza di
tale utilizzo.
• Linee guida del Garante;
Capitolo V
Norme e provvedimenti
LE PRINCIPALI NORME CHE DISCIPLINANO
LA TUTELA DELLA PRIVACY
CODICE
IN MATERIA DI
PROTEZIONE DEI DATI PERSONALI
Decreto legislativo 30 giugno 2003, n. 196
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
aggiornato in base ai seguenti provvedimenti:
• decreto legge 9 febbraio 2012, n. 5, convertito con legge 4 aprile 2012 n. 35;
• decreto legge 13 maggio 2011, n. 70
convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106;
• legge 4 novembre 2010, n. 183;
• legge 29 luglio 2010, n. 120;
• decreto-legge del 25 settembre 2009, n. 135
convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166;
• legge 4 marzo 2009, n. 15;
• decreto-legge del 30 dicembre 2008, n. 207
convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14;
• decreto-legge 25 giugno 2008, n. 112
convertito, con modificazioni, dalla legge 6 agosto 2008 n. 133;
• decreto legislativo 30 maggio 2008, n. 109;
• legge 18 marzo 2008, n. 48, ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità
informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno
• decreto-legge 28 dicembre 2006, n. 300
convertito, con modificazioni, dalla legge 26 febbraio 2007, n. 17;
• decreto-legge 12 maggio 2006, n. 173
convertito, con modificazioni, dalla legge 12 luglio 2006, n. 228;
• decreto-legge 30 dicembre 2005, n. 273
convertito, con modificazioni, dalla legge 23 febbraio 2006, n. 51;
• decreto legge 30 novembre 2005, n. 245
convertito, con modificazioni, dalla legge 27 gennaio 2006, n. 21;
• decreto legislativo 7 settembre 2005, n. 209;
• decreto-legge 27 luglio 2005, n. 144
convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155;
• decreto-legge 30 dicembre 2004, n. 314
convertito, con modificazioni, dalla legge 1 marzo 2005, n. 26;
• decreto-legge 9 novembre 2004, n. 66
convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 306;
• decreto-legge 24 giugno 2004, n. 158
convertito, con modificazioni, dalla legge 27 luglio 2004, n. 188;
• decreto-legge 29 marzo 2004, n. 81
convertito, con modificazioni, dalla legge 26 maggio 2004, n. 138;
• decreto legislativo 22 gennaio 2004, n. 42;
• decreto-legge 24 dicembre 2003, n. 354
convertito, con modificazioni, dalla legge 26 febbraio 2004, n. 45
IL PRESIDENTE DELLA REPUBBLICA
Visti gli articoli 76 e 87 della Costituzione;
Visto l'articolo 1 della legge 24 marzo 2001, n.127, recante delega al Governo per l'emanazione di un testo unico in
materia di trattamento dei dati personali;
Visto l'articolo 26 della legge 3 febbraio 2003, n. 14, recante disposizioni per l'adempimento di obblighi derivanti
dall'appartenenza dell'Italia alle Comunità europee (legge comunitaria 2002);
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni;
Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali;
Vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle
persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati;
Vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei
dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
Vista la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 9 maggio 2003;
Sentito il Garante per la protezione dei dati personali;
Acquisito il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della
Repubblica;
Vista la deliberazione del Consiglio dei ministri, adottata nella riunione del 27 giugno 2003;
Sulla proposta del Presidente del Consiglio dei ministri, del Ministro per la funzione pubblica e del Ministro per le
politiche comunitarie, di concerto con i ministri della giustizia, dell'economia e delle finanze, degli affari esteri e
delle comunicazioni;
emana il seguente decreto legislativo:
Parte I - Disposizioni generali
Titolo I - Principi generali
Art. 1. Diritto alla protezione dei dati personali
1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Le notizie concernenti lo svolgimento
delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di
protezione della riservatezza personale. (1)
(1) Così modificato dall'art. 4, comma 9 della legge 4 marzo 2009, n. 15
Art. 2. Finalità
1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga
nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento
alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di
cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il
loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del
trattamento.
Art. 3. Principio di necessità nel trattamento dei dati
1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati
personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di
identificare l'interessato solo in caso di necessità.
Art. 4. Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche
se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare
lo stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da
a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe
delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o
di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo
della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile;
i) "interessato", la persona fisica cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati,
in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un
interessato identificato o identificabile;
o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del
trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate
in uno o più siti;
q) "Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti
tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni
trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di
radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente,
identificato o identificabile;
b) "chiamata", la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la
comunicazione bidirezionale in tempo reale;
c) "reti di comunicazione elettronica", i sistemi di trasmissione, le apparecchiature di commutazione o di
instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre
ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a
commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la
diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella
misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal
tipo di informazione trasportato;
d) "rete pubblica di comunicazioni", una rete di comunicazioni elettroniche utilizzata interamente o
prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;
e) "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella
trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i
servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti
dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del
7marzo 2002;
f) "abbonato", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con
un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o
comunque destinatario di tali servizi tramite schede prepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al
pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una
comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica che indica la
posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica
accessibile al pubblico;
l) "servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati
relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di
una comunicazione o della relativa fatturazione;
m) "posta elettronica", messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete
pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale
ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o
comunque automatizzato con cui si effettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche
indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o
ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa
nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che
consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e
alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del
passato;
b) "scopi statistici", le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di
sistemi informativi statistici;
c) "scopi scientifici", le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze
scientifiche in uno specifico settore.
Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è
stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio
di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello
Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione
europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante
stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione.
Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.
Art. 6. Disciplina del trattamento
1. Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in
relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II.
Titolo II - Diritti dell’interessato
Art. 7. Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se
non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi
dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di
responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge,
compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati
raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per
quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso
in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo
della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Art. 8. Esercizio dei diritti
1. I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche
per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai
sensi dell'articolo 145, se i trattamenti di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla
legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni,
dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di
richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di
legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al
controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe
derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per
l'esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni
telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della
magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.
3. Il Garante, anche su segnalazione dell'interessato, nei casi di cui al comma 2, lettere a), b), d), e) ed f) provvede
nei modi di cui agli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma, provvede
nei modi di cui all'articolo 160.
4. L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo
che concerna la rettificazione o l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri
apprezzamenti di tipo soggettivo, nonché l'indicazione di condotte da tenersi o di decisioni in via di assunzione da
parte del titolare del trattamento.
Art. 9. Modalità di esercizio
1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata,
telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni
tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere
formulata anche oralmente e in tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può conferire, per iscritto, delega o procura a persone
fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia.
3. I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi
ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione.
4. L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o
documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce
per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un
incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di
riconoscimento dell'interessato.
5. La richiesta di cui all'articolo 7, commi 1 e 2, è formulata liberamente e senza costrizioni e può essere rinnovata,
salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni.
Art. 10. Riscontro all'interessato
1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è tenuto ad adottare
idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi
programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati
identificati o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o
servizi preposti alle relazioni con il pubblico.
2. I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche
oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati
sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla
trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati
personali, il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati
dal titolare. Se la richiesta è rivolta ad un esercente una professione sanitaria o ad un organismo sanitario si
osserva la disposizione di cui all'articolo 84, comma 1.
4. Quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell'interessato può
avvenire anche attraverso l'esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.
5. Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda dati personali relativi a terzi,
salvo che la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali
relativi all'interessato.
6. La comunicazione dei dati è effettuata in forma intelligibile anche attraverso l'utilizzo di una grafia comprensibile.
In caso di comunicazione di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la comprensione
del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b) e c) non risulta confermata
l'esistenza di dati che riguardano l'interessato, può essere chiesto un contributo spese non eccedente i costi
effettivamente sopportati per la ricerca effettuata nel caso specifico.
8. Il contributo di cui al comma 7 non può comunque superare l'importo determinato dal Garante con
provvedimento di carattere generale, che può individuarlo forfettariamente in relazione al caso in cui i dati sono
trattati con strumenti elettronici e la risposta è fornita oralmente. Con il medesimo provvedimento il Garante può
prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale
è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole
impiego di mezzi in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che
riguardano l'interessato.
9. Il contributo di cui ai commi 7 e 8 è corrisposto anche mediante versamento postale o bancario, ovvero mediante
carta di pagamento o di credito, ove possibile all'atto della ricezione del riscontro e comunque non oltre quindici
giorni da tale riscontro.
Titolo III - Regole generali per il trattamento dei dati
Capo I - Regole per tutti i trattamenti
Art. 11. Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non
possono essere utilizzati.
Art. 12. Codici di deontologia e di buona condotta
1. Il Garante promuove nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentatività e
tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d'Europa sul trattamento di dati personali, la
sottoscrizione di codici di deontologia e di buona condotta per determinati settori, ne verifica la conformità alle leggi
e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la
diffusione e il rispetto.
2. I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e, con decreto del
Ministro della giustizia, sono riportati nell'allegato A) del presente codice.
3. Il rispetto delle disposizioni contenute nei codici di cui al comma 1 costituisce condizione essenziale per la liceità
e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici.
4. Le disposizioni del presente articolo si applicano anche al codice di deontologia per i trattamenti di dati per
finalità giornalistiche promosso dal Garante nei modi di cui al comma 1 e all’articolo 139.
Art. 13. Informativa
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o
per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono
venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di
essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro
all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice
e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in
concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di
difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare
da servizi telefonici di assistenza e informazione al pubblico.
4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle
categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la
loro comunicazione, non oltre la prima comunicazione.
5. La disposizione di cui al comma 4 non si applica quando:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al
loro perseguimento;
c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure
appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio
del Garante, impossibile.
5-bis. L'informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente
trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del
primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche
oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).
Art. 14. Definizione di profili e della personalità dell'interessato
1. Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento
umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o
la personalità dell'interessato.
2. L'interessato può opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento di cui al comma
1, ai sensi dell'articolo 7, comma 4, lettera a), salvo che la determinazione sia stata adottata in occasione della
conclusione o dell'esecuzione di un contratto, in accoglimento di una proposta dell'interessato o sulla base di
adeguate garanzie individuate dal presente codice o da un provvedimento del Garante ai sensi dell'articolo 17.
Art. 15. Danni cagionati per effetto del trattamento
1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
Art. 16. Cessazione del trattamento
1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i
dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla
diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai
regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi
dell'articolo 12.
2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in
materia di trattamento dei dati personali è priva di effetti.
Art. 17. Trattamento che presenta rischi specifici
1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà
fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento
o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato,
ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal
presente codice, nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a
determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
Capo II - Regole ulteriori per i soggetti pubblici
Art. 18. Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici
1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento
delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in
relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i
soggetti pubblici non devono richiedere il consenso dell'interessato.
5. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.
Art. 19. Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari
1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è
consentito, fermo restando quanto previsto dall'articolo 18, comma 2, anche in mancanza di una norma di legge o
di regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una
norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque
necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all'articolo
39, comma 2, e non è stata adottata la diversa determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di
un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.
Art. 20. Principi applicabili al trattamento di dati sensibili
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa
disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e
le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati
sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni
identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità
perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato
in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi
dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico
provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.
Art. 21. Principi applicabili al trattamento di dati giudiziari
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa
disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del
trattamento, i tipi di dati trattati e di operazioni eseguibili.
1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di
protocolli d'intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con
il Ministero dell'interno o con i suoi uffici periferici di cui all'articolo 15, comma 2, del decreto
legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni
eseguibili.
2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.
Art. 22. Principi applicabili al trattamento di dati sensibili e giudiziari
1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire
violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.
2. Nel fornire l'informativa di cui all'articolo 13 i soggetti pubblici fanno espresso riferimento alla normativa che
prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali
che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di
natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.
5. In applicazione dell'articolo 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente
l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e
indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato
fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli
obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli
adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili
non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento
che li contiene. Specifica attenzione è prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti
a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti
elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni
che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è
autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali
trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6
anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad
effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il
trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o
ispettivi.
10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il
profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti
di dati sensibili e giudiziari ai sensi dell'articolo 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi
titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di
legge.
12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai
trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e
dalla Corte costituzionale.
Capo III - Regole ulteriori per privati ed enti pubblici economici
Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso
espresso dell'interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le
informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per
adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi
restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la
conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità
riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui
all'articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui
alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al
loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei principi
sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati,
anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non
prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi
contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto
costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con
determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi
scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse
storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione
del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici,
presso altri archivi privati;
i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis;
i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del presente
codice, riguarda la comunicazione di dati tra società, enti o associazioni con società
controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con
società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e
associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità
amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità
siano previste espressamente con determinazione resa nota agli interessati all'atto
dell'informativa di cui all'articolo 13.
Art. 25. Divieti di comunicazione e diffusione
1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorità
giudiziaria:
a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il
periodo di tempo indicato nell'articolo 11, comma 1, lettera e);
b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia,
dall'autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58,
comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
Art. 26. Garanzie per i dati sensibili
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa
autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla
legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i
quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato,
che il titolare del trattamento è tenuto ad adottare.
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di
natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi
organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle
medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati,
nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;
b) dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad
altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria;
b-bis) dei dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis.
4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici,
per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal
contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali
finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano
comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie
relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con
determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
b) quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se
la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è
manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da
un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica
la disposizione di cui all'articolo 82, comma 2;
c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto,
sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al
loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve
essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro
diritto o libertà fondamentale e inviolabile;
d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un
regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di
igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti
dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui
all'articolo 111.
5. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Art. 27. Garanzie per i dati giudiziari
1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato
da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse
pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall'articolo
21, comma 1-bis.
Titolo IV - Soggetti che effettuano il trattamento
Art. 28. Titolare del trattamento
1. Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi
altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo
periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza.
Art. 29. Responsabile del trattamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo
alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante
suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite
verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.
Art. 30. Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del
titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si
considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per
iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.
Titolo V - Sicurezza dei dati e dei sistemi
Capo I - Misure di sicurezza
Art. 31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità
della raccolta.
Art. 32. Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta ai sensi dell'articolo 31
idonee misure tecniche e organizzative adeguate al rischio esistente, per salvaguardare la sicurezza dei suoi servizi,
l'integrità dei dati relativi al traffico, dei dati relativi all'ubicazione e delle comunicazioni elettroniche rispetto ad
ogni forma di utilizzazione o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati personali richiede anche l'adozione di misure che riguardano la rete, il
fornitore del servizio di comunicazione elettronica accessibile al pubblico adotta tali misure congiuntamente con il
fornitore della rete pubblica di comunicazioni. In caso di mancato accordo, su richiesta di uno dei fornitori, la
controversia è definita dall'Autorità per le garanzie nelle comunicazioni secondo le modalità previste dalla normativa
vigente.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove
possibile, gli utenti, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il
rischio è al di fuori dell'ambito di applicazione delle misure che il fornitore stesso è tenuto ad adottare ai sensi dei
commi 1 e 2, tutti i possibili rimedi e i relativi costi presumibili. Analoga informativa è resa al Garante e all'Autorità
per le garanzie nelle comunicazioni.
Capo II - Misure minime di sicurezza
Art. 33. Misure minime
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari
del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi
dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e
addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei
sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;1
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e
giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al
1
lettera abrogata dal d.l. n.5/2012,convertito con legge n. 35/2012.
coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di
autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del
Presidente della Repubblica 28 dicembre 2000, n.445, di trattare soltanto tali dati in osservanza delle misure
minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a
tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in
particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la
semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio
provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico
contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1. 1
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti
effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di
natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati
trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali
all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le
sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale,
previdenziale - assistenziale, di salute, igiene e sicurezza sul lavoro.
Art. 35. Trattamenti senza l'ausilio di strumenti elettronici
1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o
alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e
disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
Art. 36. Adeguamento
1. Il disciplinare tecnico di cui all'allegato B), relativo alle misure minime di cui al presente capo, è aggiornato
periodicamente con decreto del Ministro della giustizia di concerto con il Ministro per le innovazioni e le tecnologie e
il Ministro per la semplificazione normativa, in relazione all'evoluzione tecnica e all'esperienza maturata nel settore.
Titolo VI - Adempimenti
Art. 37. Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento
riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una
rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e
tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza
scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato,
o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli
utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati
sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla
solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all'attività dei
1
comma abrogato dal d.l. n.5/2012,convertito con legge n. 35/2012.
medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il
Servizio sanitario nazionale.
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato,
in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai
sensi dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il
Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili
di recare detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei
dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le
modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o
presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per
esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.
Art. 38. Modalità di notificazione
1. La notificazione del trattamento è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a
prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o
più trattamenti con finalità correlate.
2. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del Garante, utilizzando l'apposito
modello, che contiene la richiesta di fornire tutte e soltanto le seguenti informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante,
nonché le modalità per individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi
alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate
per garantire la sicurezza del trattamento.
3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione anche attraverso convenzioni
stipulate con soggetti autorizzati in base alla normativa vigente, anche presso associazioni di categoria e ordini
professionali.
4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno
degli elementi da indicare nella notificazione medesima.
5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a nuove soluzioni tecnologiche
previste dalla normativa vigente.
6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi dell'articolo 37 fornisce le notizie
contenute nel modello di cui al comma 2 a chi ne fa richiesta, salvo che il trattamento riguardi pubblici registri,
elenchi, atti o documenti conoscibili da chiunque.
Art. 39. Obblighi di comunicazione
1. Il titolare del trattamento è tenuto a comunicare previamente al Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista
da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o
sanitaria di cui all'articolo 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque
giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante.
3. La comunicazione di cui al comma 1 è inviata utilizzando il modello predisposto e reso disponibile dal Garante, e
trasmessa a quest'ultimo per via telematica osservando le modalità di sottoscrizione con firma digitale e conferma
del ricevimento di cui all'articolo 38, comma 2, oppure mediante telefax o lettera raccomandata.
Art. 40. Autorizzazioni generali
1. Le disposizioni del presente codice che prevedono un'autorizzazione del Garante sono applicate anche mediante il
rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate nella Gazzetta
Ufficiale della Repubblica italiana.
Art. 41. Richieste di autorizzazione
1. Il titolare del trattamento che rientra nell'ambito di applicazione di un'autorizzazione rilasciata ai sensi
dell'articolo 40 non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento che intende
effettuare è conforme alle relative prescrizioni.
2. Se una richiesta di autorizzazione riguarda un trattamento autorizzato ai sensi dell'articolo 40 il Garante può
provvedere comunque sulla richiesta se le specifiche modalità del trattamento lo giustificano.
3. L'eventuale richiesta di autorizzazione è formulata utilizzando esclusivamente il modello predisposto e reso
disponibile dal Garante e trasmessa a quest'ultimo per via telematica, osservando le modalità di sottoscrizione e
conferma del ricevimento di cui all'articolo 38, comma 2. La medesima richiesta e l'autorizzazione possono essere
trasmesse anche mediante telefax o lettera raccomandata.
4. Se il richiedente è invitato dal Garante a fornire informazioni o ad esibire documenti, il termine di quarantacinque
giorni di cui all'articolo 26, comma 2, decorre dalla data di scadenza del termine fissato per l'adempimento
richiesto.
5. In presenza di particolari circostanze, il Garante può rilasciare un'autorizzazione provvisoria a tempo
determinato.
Titolo VII - Trasferimento dei dati all'estero
Art. 42. Trasferimenti all'interno dell'Unione europea
1. Le disposizioni del presente codice non possono essere applicate in modo tale da restringere o vietare la libera
circolazione dei dati personali fra gli Stati membri dell'Unione europea, fatta salva l'adozione, in conformità allo
stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime
disposizioni.
Art. 43. Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali
oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando:
a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per
adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la
conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con
regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli
articoli 20 e 21;
d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità
riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui
all'articolo 82, comma 2;
e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n.
397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano
trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento,
nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una
richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da
chiunque, con l'osservanza delle norme che regolano la materia;
g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi
scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse
storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione
del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici,
presso altri archivi privati.
Art. 44. Altri trasferimenti consentiti
1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione
europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di
condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i
propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle
garanzie medesime;
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva
95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione
europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione
adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.
Art. 45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con
qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente
all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un
livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti
previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
Parte II - Disposizioni relative a specifici settori
Titolo I - Trattamenti in ambito giudiziario
Capo I - Profili generali
Art. 46. Titolari dei trattamenti
1. Gli uffici giudiziari di ogni ordine e grado, il Consiglio superiore della magistratura, gli altri organi di autogoverno
e il Ministero della giustizia sono titolari dei trattamenti di dati personali relativi alle rispettive attribuzioni conferite
per legge o regolamento.
2. Con decreto del Ministro della giustizia sono individuati, nell'allegato C) al presente codice, i trattamenti non
occasionali di cui al comma 1 effettuati con strumenti elettronici, relativamente a banche di dati centrali od oggetto
di interconnessione tra più uffici o titolari. I provvedimenti con cui il Consiglio superiore della magistratura e gli altri
organi di autogoverno di cui al comma 1 individuano i medesimi trattamenti da essi effettuati sono riportati
nell'allegato C) con decreto del Ministro della giustizia.
Art. 47. Trattamenti per ragioni di giustizia
1. In caso di trattamento di dati personali effettuato presso uffici giudiziari di ogni ordine e grado, presso il
Consiglio superiore della magistratura, gli altri organi di autogoverno e il Ministero della giustizia, non si applicano,
se il trattamento è effettuato per ragioni di giustizia, le seguenti disposizioni del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
2. Agli effetti del presente codice si intendono effettuati per ragioni di giustizia i trattamenti di dati personali
direttamente correlati alla trattazione giudiziaria di affari e di controversie, o che, in materia di trattamento
giuridico ed economico del personale di magistratura, hanno una diretta incidenza sulla funzione giurisdizionale,
nonché le attività ispettive su uffici giudiziari. Le medesime ragioni di giustizia non ricorrono per l'ordinaria attività
amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti
direttamente connessi alla predetta trattazione.
Art. 48. Banche di dati di uffici giudiziari
1. Nei casi in cui l'autorità giudiziaria di ogni ordine e grado può acquisire in conformità alle vigenti disposizioni
processuali dati, informazioni, atti e documenti da soggetti pubblici, l'acquisizione può essere effettuata anche per
via telematica. A tale fine gli uffici giudiziari possono avvalersi delle convenzioni-tipo stipulate dal Ministero della
giustizia con soggetti pubblici, volte ad agevolare la consultazione da parte dei medesimi uffici, mediante reti di
comunicazione elettronica, di pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti
disposizioni e dei principi di cui agli articoli 3 e 11 del presente codice.
Art. 49. Disposizioni di attuazione
1. Con decreto del Ministro della giustizia sono adottate, anche ad integrazione del decreto del Ministro di grazia e
giustizia 30 settembre 1989, n. 334, le disposizioni regolamentari necessarie per l'attuazione dei principi del
presente codice nella materia penale e civile.
Capo II - Minori
Art. 50. Notizie o immagini relative a minori
1. Il divieto di cui all'articolo 13 del decreto del Presidente della Repubblica 22 settembre 1988, n. 448, di
pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un
minore si osserva anche in caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari in
materie diverse da quella penale.
Capo III - Informatica giuridica
Art. 51. Principi generali
1. Fermo restando quanto previsto dalle disposizioni processuali concernenti la visione e il rilascio di estratti e di
copie di atti e documenti, i dati identificativi delle questioni pendenti dinanzi all'autorità giudiziaria di ogni ordine e
grado sono resi accessibili a chi vi abbia interesse anche mediante reti di comunicazione elettronica, ivi compreso il
sito istituzionale della medesima autorità nella rete Internet.
2. Le sentenze e le altre decisioni dell'autorità giudiziaria di ogni ordine e grado depositate in cancelleria o
segreteria sono rese accessibili anche attraverso il sistema informativo e il sito istituzionale della medesima autorità
nella rete Internet, osservando le cautele previste dal presente capo.
Art. 52. Dati identificativi degli interessati
1. Fermo restando quanto previsto dalle disposizioni concernenti la redazione e il contenuto di sentenze e di altri
provvedimenti giurisdizionali dell'autorità giudiziaria di ogni ordine e grado, l'interessato può chiedere per motivi
legittimi, con richiesta depositata nella cancelleria o segreteria dell'ufficio che procede prima che sia definito il
relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull'originale della
sentenza o del provvedimento, un'annotazione volta a precludere, in caso di riproduzione della sentenza o
provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o
mediante reti di comunicazione elettronica, l'indicazione delle generalità e di altri dati identificativi del medesimo
interessato riportati sulla sentenza o provvedimento.
2. Sulla richiesta di cui al comma 1 provvede in calce con decreto, senza ulteriori formalità, l'autorità che pronuncia
la sentenza o adotta il provvedimento. La medesima autorità può disporre d'ufficio che sia apposta l'annotazione di
cui al comma 1, a tutela dei diritti o della dignità degli interessati.
3. Nei casi di cui ai commi 1 e 2, all'atto del deposito della sentenza o provvedimento, la cancelleria o segreteria vi
appone e sottoscrive anche con timbro la seguente annotazione, recante l'indicazione degli estremi del presente
articolo: "In caso di diffusione omettere le generalità e gli altri dati identificativi di ...".
4. In caso di diffusione anche da parte di terzi di sentenze o di altri provvedimenti recanti l'annotazione di cui al
comma 2, o delle relative massime giuridiche, è omessa l'indicazione delle generalità e degli altri dati identificativi
dell'interessato.
5. Fermo restando quanto previsto dall'articolo 734-bis del codice penale relativamente alle persone offese da atti
di violenza sessuale, chiunque diffonde sentenze o altri provvedimenti giurisdizionali dell'autorità giudiziaria di ogni
ordine e grado è tenuto ad omettere in ogni caso, anche in mancanza dell'annotazione di cui al comma 2, le
generalità, altri dati identificativi o altri dati anche relativi a terzi dai quali può desumersi anche indirettamente
l'identità di minori, oppure delle parti nei procedimenti in materia di rapporti di famiglia e di stato delle persone.
6. Le disposizioni di cui al presente articolo si applicano anche in caso di deposito di lodo ai sensi dell'articolo 825
del codice di procedura civile. La parte può formulare agli arbitri la richiesta di cui al comma 1 prima della
pronuncia del lodo e gli arbitri appongono sul lodo l'annotazione di cui al comma 3, anche ai sensi del comma 2. Il
collegio arbitrale costituito presso la camera arbitrale per i lavori pubblici ai sensi dell'articolo 32 della legge 11
febbraio 1994, n. 109, provvede in modo analogo in caso di richiesta di una parte.
7. Fuori dei casi indicati nel presente articolo è ammessa la diffusione in ogni forma del contenuto anche integrale
di sentenze e di altri provvedimenti giurisdizionali.
Titolo II - Trattamenti da parte di forze di polizia
Capo I - Profili generali
Art. 53. Ambito applicativo e titolari dei trattamenti
1. Al trattamento di dati personali effettuato dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o
da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri
soggetti pubblici per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o
repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento,
non si applicano le seguenti disposizioni del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
2. Con decreto del Ministro dell'interno sono individuati, nell'allegato C) al presente codice, i trattamenti non
occasionali di cui al comma 1 effettuati con strumenti elettronici, e i relativi titolari.
Art. 54. Modalità di trattamento e flussi di dati
1. Nei casi in cui le autorità di pubblica sicurezza o le forze di polizia possono acquisire in conformità alle vigenti
disposizioni di legge o di regolamento dati, informazioni, atti e documenti da altri soggetti, l'acquisizione può essere
effettuata anche per via telematica. A tal fine gli organi o uffici interessati possono avvalersi di convenzioni volte ad
agevolare la consultazione da parte dei medesimi organi o uffici, mediante reti di comunicazione elettronica, di
pubblici registri, elenchi, schedari e banche di dati, nel rispetto delle pertinenti disposizioni e dei principi di cui agli
articoli 3 e 11. Le convenzioni-tipo sono adottate dal Ministero dell'interno, su conforme parere del Garante, e
stabiliscono le modalità dei collegamenti e degli accessi anche al fine di assicurare l'accesso selettivo ai soli dati
necessari al perseguimento delle finalità di cui all'articolo 53.
2. I dati trattati per le finalità di cui al medesimo articolo 53 sono conservati separatamente da quelli registrati per
finalità amministrative che non richiedono il loro utilizzo.
3. Fermo restando quanto previsto dall'articolo 11, il Centro elaborazioni dati di cui all'articolo 53 assicura
l'aggiornamento periodico e la pertinenza e non eccedenza dei dati personali trattati anche attraverso interrogazioni
autorizzate del casellario giudiziale e del casellario dei carichi pendenti del Ministero della giustizia di cui al decreto
del Presidente della Repubblica 14 novembre 2002, n. 313, o di altre banche di dati di forze di polizia, necessarie
per le finalità di cui all'articolo 53.
4. Gli organi, uffici e comandi di polizia verificano periodicamente i requisiti di cui all'articolo 11 in riferimento ai
dati trattati anche senza l'ausilio di strumenti elettronici, e provvedono al loro aggiornamento anche sulla base delle
procedure adottate dal Centro elaborazioni dati ai sensi del comma 3, o, per i trattamenti effettuati senza l'ausilio di
strumenti elettronici, mediante annotazioni o integrazioni dei documenti che li contengono.
Art. 55. Particolari tecnologie
1. Il trattamento di dati personali che implica maggiori rischi di un danno all'interessato, con particolare riguardo a
banche di dati genetici o biometrici, a tecniche basate su dati relativi all'ubicazione, a banche di dati basate su
particolari tecniche di elaborazione delle informazioni e all'introduzione di particolari tecnologie, è effettuato nel
rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti ai sensi dell'articolo 17 sulla base di
preventiva comunicazione ai sensi dell'articolo 39.
Art. 56. Tutela dell'interessato
1. Le disposizioni di cui all'articolo 10, commi 3, 4 e 5, della legge 1 aprile 1981, n. 121, e successive modificazioni,
si applicano anche, oltre che ai dati destinati a confluire nel Centro elaborazioni dati di cui all'articolo 53, a dati
trattati con l'ausilio di strumenti elettronici da organi, uffici o comandi di polizia.
Art. 57. Disposizioni di attuazione
1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei ministri, su proposta del
Ministro dell'interno, di concerto con il Ministro della giustizia, sono individuate le modalità di attuazione dei principi
del presente codice relativamente al trattamento dei dati effettuato per le finalità di cui all'articolo 53 dal Centro
elaborazioni dati e da organi, uffici o comandi di polizia, anche ad integrazione e modifica del decreto del Presidente
della Repubblica 3 maggio 1982, n. 378, e in attuazione della Raccomandazione R (87) 15 del Consiglio d'Europa
del 17 settembre 1987, e successive modificazioni. Le modalità sono individuate con particolare riguardo:
a) al principio secondo cui la raccolta dei dati è correlata alla specifica finalità perseguita, in relazione alla
prevenzione di un pericolo concreto o alla repressione di reati, in particolare per quanto riguarda i
trattamenti effettuati per finalità di analisi;
b) all'aggiornamento periodico dei dati, anche relativi a valutazioni effettuate in base alla legge, alle
diverse modalità relative ai dati trattati senza l'ausilio di strumenti elettronici e alle modalità per rendere
conoscibili gli aggiornamenti da parte di altri organi e uffici cui i dati sono stati in precedenza comunicati;
c) ai presupposti per effettuare trattamenti per esigenze temporanee o collegati a situazioni particolari,
anche ai fini della verifica dei requisiti dei dati ai sensi dell'articolo 11, dell'individuazione delle categorie
di interessati e della conservazione separata da altri dati che non richiedono il loro utilizzo;
d) all'individuazione di specifici termini di conservazione dei dati in relazione alla natura dei dati o agli
strumenti utilizzati per il loro trattamento, nonché alla tipologia dei procedimenti nell'ambito dei quali essi
sono trattati o i provvedimenti sono adottati;
e) alla comunicazione ad altri soggetti, anche all'estero o per l'esercizio di un diritto o di un interesse
legittimo, e alla loro diffusione, ove necessaria in conformità alla legge;
f) all'uso di particolari tecniche di elaborazione e di ricerca delle informazioni, anche mediante il ricorso a
sistemi di indice.
Titolo III - Difesa e sicurezza dello Stato
Capo I - Profili generali
Art. 58. Disposizioni applicabili
1. Ai trattamenti effettuati dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui
dati coperti da segreto di Stato ai sensi dell'articolo 12 della medesima legge, le disposizioni del presente codice si
applicano limitatamente a quelle previste negli articoli da 1 a 6, 11, 14, 15, 31, 33, 58, 154, 160 e 169.
2. Ai trattamenti effettuati da soggetti pubblici per finalità di difesa o di sicurezza dello Stato, in base ad espresse
disposizioni di legge che prevedano specificamente il trattamento, le disposizioni del presente codice si applicano
limitatamente a quelle indicate nel comma 1, nonché alle disposizioni di cui agli articoli 37, 38 e 163.
3. Le misure di sicurezza relative ai dati trattati dagli organismi di cui al comma 1 sono stabilite e periodicamente
aggiornate con decreto del Presidente del Consiglio dei ministri, con l'osservanza delle norme che regolano la
materia.
4. Con decreto del Presidente del Consiglio dei ministri sono individuate le modalità di applicazione delle disposizioni
applicabili del presente codice in riferimento alle tipologie di dati, di interessati, di operazioni di trattamento
eseguibili e di incaricati, anche in relazione all'aggiornamento e alla conservazione.
Titolo IV - Trattamenti in ambito pubblico
Capo I - Accesso a documenti amministrativi
Art. 59. Accesso a documenti amministrativi
1. Fatto salvo quanto previsto dall'articolo 60, i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso
a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla
legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai
relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati sensibili e giudiziari e le operazioni di
trattamento eseguibili in esecuzione di una richiesta di accesso. Le attività finalizzate all'applicazione di tale
disciplina si considerano di rilevante interesse pubblico.
Art. 60. Dati idonei a rivelare lo stato di salute e la vita sessuale
1. Quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è
consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti
amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un
altro diritto o libertà fondamentale e inviolabile.
Capo II - Registri pubblici e albi professionali
Art. 61. Utilizzazione di dati pubblici
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti
pubblici, anche individuando i casi in cui deve essere indicata la fonte di acquisizione dei dati e prevedendo garanzie
appropriate per l'associazione di dati provenienti da più archivi, tenendo presente quanto previsto dalla
Raccomandazione R (91) 10 del Consiglio d'Europa in relazione all'articolo 11.
2. Agli effetti dell'applicazione del presente codice i dati personali diversi da quelli sensibili o giudiziari, che devono
essere inseriti in un albo professionale in conformità alla legge o ad un regolamento, possono essere comunicati a
soggetti pubblici e privati o diffusi, ai sensi dell'articolo 19, commi 2 e 3, anche mediante reti di comunicazione
elettronica. Può essere altresì menzionata l'esistenza di provvedimenti che dispongono la sospensione o che
incidono sull'esercizio della professione.
3. L'ordine o collegio professionale può, a richiesta della persona iscritta nell'albo che vi ha interesse, integrare i
dati di cui al comma 2 con ulteriori dati pertinenti e non eccedenti in relazione all'attività professionale.
4. A richiesta dell'interessato l'ordine o collegio professionale può altresì fornire a terzi notizie o informazioni
relative, in particolare, a speciali qualificazioni professionali non menzionate nell'albo, ovvero alla disponibilità ad
assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari.
Capo III - Stato civile, anagrafi e liste elettorali
Art. 62. Dati sensibili e giudiziari
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità relative alla tenuta degli
atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti
all'estero, e delle liste elettorali, nonché al rilascio di documenti di riconoscimento o al cambiamento delle
generalità.
Art. 63. Consultazione di atti
1. Gli atti dello stato civile conservati negli Archivi di Stato sono consultabili nei limiti previsti dall'articolo 107 del
decreto legislativo 29 ottobre 1999, n. 490.
Capo IV - Finalità di rilevante interesse pubblico
Art. 64. Cittadinanza, immigrazione e condizione dello straniero
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di applicazione della
disciplina in materia di cittadinanza, di immigrazione, di asilo, di condizione dello straniero e del profugo e sullo
stato di rifugiato.
2. Nell'ambito delle finalità di cui al comma 1 è ammesso, in particolare, il trattamento dei dati sensibili e giudiziari
indispensabili:
a) al rilascio e al rinnovo di visti, permessi, attestazioni, autorizzazioni e documenti anche sanitari;
b) al riconoscimento del diritto di asilo o dello stato di rifugiato, o all'applicazione della protezione
temporanea e di altri istituti o misure di carattere umanitario, ovvero all'attuazione di obblighi di legge in
materia di politiche migratorie;
c) in relazione agli obblighi dei datori di lavoro e dei lavoratori, ai ricongiungimenti, all'applicazione delle
norme vigenti in materia di istruzione e di alloggio, alla partecipazione alla vita pubblica e all'integrazione
sociale.
3. Il presente articolo non si applica ai trattamenti di dati sensibili e giudiziari effettuati in esecuzione degli accordi
e convenzioni di cui all'articolo 154, comma 2, lettere a) e b), o comunque effettuati per finalità di difesa o di
sicurezza dello Stato o di prevenzione, accertamento o repressione dei reati, in base ad espressa disposizione di
legge che prevede specificamente il trattamento.
Art. 65. Diritti politici e pubblicità dell'attività di organi
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di applicazione della
disciplina in materia di:
a) elettorato attivo e passivo e di esercizio di altri diritti politici, nel rispetto della segretezza del voto,
nonché di esercizio del mandato degli organi rappresentativi o di tenuta degli elenchi dei giudici popolari;
b) documentazione dell'attività istituzionale di organi pubblici.
2. I trattamenti dei dati sensibili e giudiziari per le finalità di cui al comma 1 sono consentiti per eseguire specifici
compiti previsti da leggi o da regolamenti fra i quali, in particolare, quelli concernenti:
a) lo svolgimento di consultazioni elettorali e la verifica della relativa regolarità;
b) le richieste di referendum, le relative consultazioni e la verifica delle relative regolarità;
c) l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, o di rimozione o sospensione
da cariche pubbliche, ovvero di sospensione o di scioglimento degli organi;
d) l'esame di segnalazioni, petizioni, appelli e di proposte di legge di iniziativa popolare, l'attività di
commissioni di inchiesta, il rapporto con gruppi politici;
e) la designazione e la nomina di rappresentanti in commissioni, enti e uffici.
3. Ai fini del presente articolo, è consentita la diffusione dei dati sensibili e giudiziari per le finalità di cui al comma
1, lettera a), in particolare con riguardo alle sottoscrizioni di liste, alla presentazione delle candidature, agli incarichi
in organizzazioni o associazioni politiche, alle cariche istituzionali e agli organi eletti.
4. Ai fini del presente articolo, in particolare, è consentito il trattamento di dati sensibili e giudiziari indispensabili:
a) per la redazione di verbali e resoconti dell'attività di assemblee rappresentative, commissioni e di altri
organi collegiali o assembleari;
b) per l'esclusivo svolgimento di una funzione di controllo, di indirizzo politico o di sindacato ispettivo e per
l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive
finalità direttamente connesse all'espletamento di un mandato elettivo.
5. I dati sensibili e giudiziari trattati per le finalità di cui al comma 1 possono essere comunicati e diffusi nelle forme
previste dai rispettivi ordinamenti. Non è comunque consentita la divulgazione dei dati sensibili e giudiziari che non
risultano indispensabili per assicurare il rispetto del principio di pubblicità dell'attività istituzionale, fermo restando il
divieto di diffusione dei dati idonei a rivelare lo stato di salute.
Art. 66. Materia tributaria e doganale
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le attività dei soggetti pubblici
dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia di tributi, in relazione ai
contribuenti, ai sostituti e ai responsabili di imposta, nonché in materia di deduzioni e detrazioni e per l'applicazione
delle disposizioni la cui esecuzione è affidata alle dogane.
2. Si considerano inoltre di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le attività dirette, in materia
di imposte, alla prevenzione e repressione delle violazioni degli obblighi e alla adozione dei provvedimenti previsti
da leggi, regolamenti o dalla normativa comunitaria, nonché al controllo e alla esecuzione forzata dell'esatto
adempimento di tali obblighi, alla effettuazione dei rimborsi, alla destinazione di quote d'imposta, e quelle dirette
alla gestione ed alienazione di immobili statali, all'inventario e alla qualificazione degli immobili e alla conservazione
dei registri immobiliari.
Art. 67. Attività di controllo e ispettive
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di:
a) verifica della legittimità, del buon andamento, dell'imparzialità dell'attività amministrativa, nonché della
rispondenza di detta attività a requisiti di razionalità, economicità, efficienza ed efficacia per le quali sono,
comunque, attribuite dalla legge a soggetti pubblici funzioni di controllo, di riscontro ed ispettive nei
confronti di altri soggetti;
b) accertamento, nei limiti delle finalità istituzionali, con riferimento a dati sensibili e giudiziari relativi ad
esposti e petizioni, ovvero ad atti di controllo o di sindacato ispettivo di cui all'articolo 65, comma 4.
Art. 68. Benefici economici ed abilitazioni
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di applicazione della
disciplina in materia di concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni,
altri emolumenti e abilitazioni.
2. Si intendono ricompresi fra i trattamenti regolati dal presente articolo anche quelli indispensabili in relazione:
a) alle comunicazioni, certificazioni ed informazioni previste dalla normativa antimafia;
b) alle elargizioni di contributi previsti dalla normativa in materia di usura e di vittime di richieste
estorsive;
c) alla corresponsione delle pensioni di guerra o al riconoscimento di benefici in favore di perseguitati
politici e di internati in campo di sterminio e di loro congiunti;
d) al riconoscimento di benefici connessi all'invalidità civile;
e) alla concessione di contributi in materia di formazione professionale;
f) alla concessione di contributi, finanziamenti, elargizioni ed altri benefici previsti dalla legge, dai
regolamenti o dalla normativa comunitaria, anche in favore di associazioni, fondazioni ed enti;
g) al riconoscimento di esoneri, agevolazioni o riduzioni tariffarie o economiche, franchigie, o al rilascio di
concessioni anche radiotelevisive, licenze, autorizzazioni, iscrizioni ed altri titoli abilitativi previsti dalla
legge, da un regolamento o dalla normativa comunitaria.
3. Il trattamento può comprendere la diffusione nei soli casi in cui ciò è indispensabile per la trasparenza delle
attività indicate nel presente articolo, in conformità alle leggi, e per finalità di vigilanza e di controllo conseguenti
alle attività medesime, fermo restando il divieto di diffusione dei dati idonei a rivelare lo stato di salute.
Art. 69. Onorificenze, ricompense e riconoscimenti
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di applicazione della
disciplina in materia di conferimento di onorificenze e ricompense, di riconoscimento della personalità giuridica di
associazioni, fondazioni ed enti, anche di culto, di accertamento dei requisiti di onorabilità e di professionalità per le
nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone
giuridiche, imprese e di istituzioni scolastiche non statali, nonché di rilascio e revoca di autorizzazioni o abilitazioni,
di concessione di patrocini, patronati e premi di rappresentanza, di adesione a comitati d'onore e di ammissione a
cerimonie ed incontri istituzionali.
Art. 70. Volontariato e obiezione di coscienza
1. Si considerano di rilevante interesse pubblico, ai sensi dell'articoli 20 e 21, le finalità di applicazione della
disciplina in materia di rapporti tra i soggetti pubblici e le organizzazioni di volontariato, in particolare per quanto
riguarda l'elargizione di contributi finalizzati al loro sostegno, la tenuta di registri generali delle medesime
organizzazioni e la cooperazione internazionale.
2. Si considerano, altresì, di rilevante interesse pubblico le finalità di applicazione della legge 8 luglio 1998, n. 230,
e delle altre disposizioni di legge in materia di obiezione di coscienza.
Art. 71. Attività sanzionatorie e di tutela
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità:
a) di applicazione delle norme in materia di sanzioni amministrative e ricorsi;
b) volte a far valere il diritto di difesa in sede amministrativa o giudiziaria, anche da parte di un terzo,
anche ai sensi dell'articolo 391-quater del codice di procedura penale, o direttamente connesse alla
riparazione di un errore giudiziario o in caso di violazione del termine ragionevole del processo o di
un'ingiusta restrizione della libertà personale.
2. Quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è
consentito se il diritto da far valere o difendere, di cui alla lettera b) del comma 1, è di rango almeno pari a quello
dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e
inviolabile.
Art. 72. Rapporti con enti di culto
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità relative allo svolgimento
dei rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose.
Art. 73. Altre finalità in ambito amministrativo e sociale
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, nell'ambito delle attività che la legge
demanda ad un soggetto pubblico, le finalità socio-assistenziali, con particolare riferimento a:
a) interventi di sostegno psico-sociale e di formazione in favore di giovani o di altri soggetti che versano in
condizioni di disagio sociale, economico o familiare;
b) interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti o incapaci, ivi
compresi i servizi di assistenza economica o domiciliare, di telesoccorso, accompagnamento e trasporto;
c) assistenza nei confronti di minori, anche in relazione a vicende giudiziarie;
d) indagini psico-sociali relative a provvedimenti di adozione anche internazionale;
e) compiti di vigilanza per affidamenti temporanei;
f) iniziative di vigilanza e di sostegno in riferimento al soggiorno di nomadi;
g) interventi in tema di barriere architettoniche.
2. Si considerano, altresì, di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, nell'ambito delle attività che
la legge demanda ad un soggetto pubblico, le finalità:
a) di gestione di asili nido;
b) concernenti la gestione di mense scolastiche o la fornitura di sussidi, contributi e materiale didattico;
c) ricreative o di promozione della cultura e dello sport, con particolare riferimento all'organizzazione di
soggiorni, mostre, conferenze e manifestazioni sportive o all'uso di beni immobili o all'occupazione di suolo
pubblico;
d) di assegnazione di alloggi di edilizia residenziale pubblica;
e) relative alla leva militare;
f) di polizia amministrativa anche locale, salvo quanto previsto dall'articolo 53, con particolare riferimento
ai servizi di igiene, di polizia mortuaria e ai controlli in materia di ambiente, tutela delle risorse idriche e
difesa del suolo;
g) degli uffici per le relazioni con il pubblico;
h) in materia di protezione civile;
i) di supporto al collocamento e all'avviamento al lavoro, in particolare a cura di centri di iniziativa locale
per l'occupazione e di sportelli-lavoro;
l) dei difensori civici regionali e locali.
Capo V - Particolari contrassegni
Art. 74. Contrassegni su veicoli e accessi a centri storici
1. I contrassegni rilasciati a qualunque titolo per la circolazione e la sosta di veicoli a servizio di persone invalide,
ovvero per il transito e la sosta in zone a traffico limitato, e che devono essere esposti su veicoli, contengono i soli
dati indispensabili ad individuare l'autorizzazione rilasciata e senza l'apposizione di simboli o diciture dai quali può
desumersi la speciale natura dell'autorizzazione per effetto della sola visione del contrassegno.
2. Le generalità e l'indirizzo della persona fisica interessata sono riportati sui contrassegni con modalità che non
consentono, parimenti, la loro diretta visibilità se non in caso di richiesta di esibizione o necessità di accertamento.
3. La disposizione di cui al comma 2 si applica anche in caso di fissazione a qualunque titolo di un obbligo di
esposizione sui veicoli di copia del libretto di circolazione o di altro documento.
4. Per il trattamento dei dati raccolti mediante impianti per la rilevazione degli accessi di veicoli ai centri storici ed
alle zone a traffico limitato continuano, altresì, ad applicarsi le disposizioni del decreto del Presidente della
Repubblica 22 giugno 1999, n. 250.
Titolo V - Trattamento di dati personali in ambito sanitario
Capo I - Principi generali
Art. 75. Ambito applicativo
1. Il presente titolo disciplina il trattamento dei dati personali in ambito sanitario.
Art. 76. Esercenti professioni sanitarie e organismi sanitari pubblici
1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante
interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute:
a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda
dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica
dell'interessato;
b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla
lettera a) riguarda un terzo o la collettività.
2. Nei casi di cui al comma 1 il consenso può essere prestato con le modalità semplificate di cui al capo II.
3. Nei casi di cui al comma 1 l'autorizzazione del Garante è rilasciata, salvi i casi di particolare urgenza, sentito il
Consiglio superiore di sanità.
Capo II - Modalità semplificate per informativa e consenso
Art. 77. Casi di semplificazione
1. Il presente capo individua modalità semplificate utilizzabili dai soggetti di cui al comma 2:
a) per informare l'interessato relativamente ai dati personali raccolti presso il medesimo interessato o
presso terzi, ai sensi dell'articolo 13, commi 1 e 4;
b) per manifestare il consenso al trattamento dei dati personali nei casi in cui ciò è richiesto ai sensi
dell'articolo 76;
c) per il trattamento dei dati personali.
2. Le modalità semplificate di cui al comma 1 sono applicabili:
a) dagli organismi sanitari pubblici;
b) dagli altri organismi privati e dagli esercenti le professioni sanitarie;
c) dagli altri soggetti pubblici indicati nell'articolo 80.
Art. 78. Informativa del medico di medicina generale o del pediatra
1. Il medico di medicina generale o il pediatra di libera scelta informano l'interessato relativamente al trattamento
dei dati personali, in forma chiara e tale da rendere agevolmente comprensibili gli elementi indicati nell'articolo 13,
comma 1.
2. L'informativa può essere fornita per il complessivo trattamento dei dati personali necessario per attività di
prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a tutela della salute o dell'incolumità
fisica dell'interessato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse.
3. L'informativa può riguardare, altresì, dati personali eventualmente raccolti presso terzi, ed è fornita
preferibilmente per iscritto, anche attraverso carte tascabili con eventuali allegati pieghevoli, includendo almeno gli
elementi indicati dal Garante ai sensi dell'articolo 13, comma 3, eventualmente integrati anche oralmente in
relazione a particolari caratteristiche del trattamento.
4. L'informativa, se non è diversamente specificato dal medico o dal pediatra, riguarda anche il trattamento di dati
correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, effettuato da un
professionista o da altro soggetto, parimenti individuabile in base alla prestazione richiesta, che:
a) sostituisce temporaneamente il medico o il pediatra;
b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;
c) può trattare lecitamente i dati nell'ambito di un'attività professionale prestata in forma associata;
d) fornisce farmaci prescritti;
e) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.
5. L'informativa resa ai sensi del presente articolo evidenzia analiticamente eventuali trattamenti di dati personali
che presentano rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in
particolare in caso di trattamenti effettuati:
a) per scopi scientifici, anche di ricerca scientifica e di sperimentazione clinica controllata di medicinali, in
conformità alle leggi e ai regolamenti, ponendo in particolare evidenza che il consenso, ove richiesto, è
manifestato liberamente;
b) nell'ambito della teleassistenza o telemedicina;
c) per fornire altri beni o servizi all'interessato attraverso una rete di comunicazione elettronica.
Art. 79. Informativa da parte di organismi sanitari
1. Gli organismi sanitari pubblici e privati possono avvalersi delle modalità semplificate relative all'informativa e al
consenso di cui agli articoli 78 e 81 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed
unità dello stesso organismo o di più strutture ospedaliere o territoriali specificamente identificati.
2. Nei casi di cui al comma 1 l'organismo o le strutture annotano l'avvenuta informativa e il consenso con modalità
uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità che, anche in tempi diversi,
trattano dati relativi al medesimo interessato.
3. Le modalità semplificate di cui agli articoli 78 e 81 possono essere utilizzate in modo omogeneo e coordinato in
riferimento all'insieme dei trattamenti di dati personali effettuati nel complesso delle strutture facenti capo alle
aziende sanitarie.
4. Sulla base di adeguate misure organizzative in applicazione del comma 3, le modalità semplificate possono
essere utilizzate per più trattamenti di dati effettuati nei casi di cui al presente articolo ed ai soggetti di cui
all'articolo 80.
Art. 80. Informativa da parte di altri soggetti pubblici
1. Oltre a quanto previsto dall'articolo 79, possono avvalersi della facoltà di fornire un'unica informativa per una
pluralità di trattamenti di dati effettuati, a fini amministrativi e in tempi diversi, rispetto a dati raccolti presso
l'interessato e presso terzi, i competenti servizi o strutture di soggetti pubblici operanti in ambito sanitario o della
prevenzione e sicurezza del lavoro.
2. L'informativa di cui al comma 1 è integrata con appositi e idonei cartelli ed avvisi agevolmente visibili al pubblico,
affissi e diffusi anche nell'ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica, in
particolare per quanto riguarda attività amministrative di rilevante interesse pubblico che non richiedono il
consenso degli interessati.
Art. 81. Prestazione del consenso
1. Il consenso al trattamento dei dati idonei a rivelare lo stato di salute, nei casi in cui è necessario ai sensi del
presente codice o di altra disposizione di legge, può essere manifestato con un'unica dichiarazione, anche
oralmente. In tal caso il consenso è documentato, anziché con atto scritto dell'interessato, con annotazione
dell'esercente la professione sanitaria o dell'organismo sanitario pubblico, riferita al trattamento di dati effettuato
da uno o più soggetti e all'informativa all'interessato, nei modi indicati negli articoli 78, 79 e 80.
2. Quando il medico o il pediatra fornisce l'informativa per conto di più professionisti ai sensi dell'articolo 78,
comma 4, oltre quanto previsto dal comma 1, il consenso è reso conoscibile ai medesimi professionisti con
adeguate modalità, anche attraverso menzione, annotazione o apposizione di un bollino o tagliando su una carta
elettronica o sulla tessera sanitaria, contenente un richiamo al medesimo articolo 78, comma 4, e alle eventuali
diverse specificazioni apposte all'informativa ai sensi del medesimo comma.
Art. 82. Emergenze e tutela della salute e dell'incolumità fisica
1. L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente
alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha
adottato un'ordinanza contingibile ed urgente ai sensi dell'articolo 117 del decreto legislativo 31 marzo 1998, n.
112.
2. L'informativa e il consenso al trattamento dei dati personali possono altresì intervenire senza ritardo,
successivamente alla prestazione, in caso di:
a) impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, quando non
è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto,
da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora
l'interessato;
b) rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell'interessato.
3. L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente
alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dall'acquisizione preventiva del
consenso, in termini di tempestività o efficacia.
4. Dopo il raggiungimento della maggiore età l'informativa è fornita all'interessato anche ai fini della acquisizione di
una nuova manifestazione del consenso quando questo è necessario.
Art. 83. Altre misure per il rispetto dei diritti degli interessati
1. I soggetti di cui agli articoli 78, 79 e 80 adottano idonee misure per garantire, nell'organizzazione delle
prestazioni e dei servizi, il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, nonché del
segreto professionale, fermo restando quanto previsto dalle leggi e dai regolamenti in materia di modalità di
trattamento dei dati sensibili e di misure minime di sicurezza.
2. Le misure di cui al comma 1 comprendono, in particolare:
a) soluzioni volte a rispettare, in relazione a prestazioni sanitarie o ad adempimenti amministrativi
preceduti da un periodo di attesa all'interno di strutture, un ordine di precedenza e di chiamata degli
interessati prescindendo dalla loro individuazione nominativa;
b) l'istituzione di appropriate distanze di cortesia, tenendo conto dell'eventuale uso di apparati vocali o di
barriere;
c) soluzioni tali da prevenire, durante colloqui, l'indebita conoscenza da parte di terzi di informazioni
idonee a rivelare lo stato di salute;
d) cautele volte ad evitare che le prestazioni sanitarie, ivi compresa l'eventuale documentazione di
anamnesi, avvenga in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti;
e) il rispetto della dignità dell'interessato in occasione della prestazione medica e in ogni operazione di
trattamento dei dati;
f) la previsione di opportuni accorgimenti volti ad assicurare che, ove necessario, possa essere data
correttamente notizia o conferma anche telefonica, ai soli terzi legittimati, di una prestazione di pronto
soccorso;
g) la formale previsione, in conformità agli ordinamenti interni delle strutture ospedaliere e territoriali, di
adeguate modalità per informare i terzi legittimati in occasione di visite sulla dislocazione degli interessati
nell'ambito dei reparti, informandone previamente gli interessati e rispettando eventuali loro contrarie
manifestazioni legittime di volontà;
h) la messa in atto di procedure, anche di formazione del personale, dirette a prevenire nei confronti di
estranei un'esplicita correlazione tra l'interessato e reparti o strutture, indicativa dell'esistenza di un
particolare stato di salute;
i) la sottoposizione degli incaricati che non sono tenuti per legge al segreto professionale a regole di
condotta analoghe al segreto professionale.
2-bis. Le misure di cui al comma 2 non si applicano ai soggetti di cui all'articolo 78, che ottemperano alle
disposizioni di cui al comma 1 secondo modalità adeguate a garantire un rapporto personale e fiduciario con gli
assistiti, nel rispetto del codice di deontologia sottoscritto ai sensi dell'articolo 12.
Art. 84. Comunicazione di dati all'interessato
1. I dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato o ai soggetti di cui
all'articolo 82, comma 2, lettera a), da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il
tramite di un medico designato dall'interessato o dal titolare. Il presente comma non si applica in riferimento ai dati
personali forniti in precedenza dal medesimo interessato.
2. Il titolare o il responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici,
che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati
personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all'interessato o ai soggetti di cui
all'articolo 82, comma 2, lettera a). L'atto di incarico individua appropriate modalità e cautele rapportate al contesto
nel quale è effettuato il trattamento di dati.
Capo III - Finalità di rilevante interesse pubblico
Art. 85. Compiti del Servizio sanitario nazionale
1. Fuori dei casi di cui al comma 2, si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le
finalità che rientrano nei compiti del Servizio sanitario nazionale e degli altri organismi sanitari pubblici relative alle
seguenti attività:
a) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti
assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadini
italiani all'estero, nonché di assistenza sanitaria erogata al personale navigante ed aeroportuale;
b) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;
c) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e
all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;
d) attività certificatorie;
e) l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute
della popolazione;
f) le attività amministrative correlate ai trapianti d'organo e di tessuti, nonché alle trasfusioni di sangue
umano, anche in applicazione della legge 4 maggio 1990, n. 107;
g) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti
accreditati o convenzionati del Servizio sanitario nazionale.
2. Il comma 1 non si applica ai trattamenti di dati idonei a rivelare lo stato di salute effettuati da esercenti le
professioni sanitarie o da organismi sanitari pubblici per finalità di tutela della salute o dell'incolumità fisica
dell'interessato, di un terzo o della collettività, per i quali si osservano le disposizioni relative al consenso
dell'interessato o all'autorizzazione del Garante ai sensi dell'articolo 76.
3. All'identificazione dei tipi di dati idonei a rivelare lo stato di salute e di operazioni su essi eseguibili è assicurata
ampia pubblicità, anche tramite affissione di una copia o di una guida illustrativa presso ciascuna azienda sanitaria
e presso gli studi dei medici di medicina generale e dei pediatri di libera scelta.
4. Il trattamento di dati identificativi dell'interessato è lecito da parte dei soli soggetti che perseguono direttamente
le finalità di cui al comma 1. L'utilizzazione delle diverse tipologie di dati è consentita ai soli incaricati, preposti,
caso per caso, alle specifiche fasi delle attività di cui al medesimo comma, secondo il principio dell'indispensabilità
dei dati di volta in volta trattati.
Art. 86. Altre finalità di rilevante interesse pubblico
1. Fuori dei casi di cui agli articoli 76 e 85, si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e
21, le finalità, perseguite mediante trattamento di dati sensibili e giudiziari, relative alle attività amministrative
correlate all'applicazione della disciplina in materia di:
a) tutela sociale della maternità e di interruzione volontaria della gravidanza, con particolare riferimento a
quelle svolte per la gestione di consultori familiari e istituzioni analoghe, per l'informazione, la cura e la
degenza delle madri, nonché per gli interventi di interruzione della gravidanza;
b) stupefacenti e sostanze psicotrope, con particolare riferimento a quelle svolte al fine di assicurare,
anche avvalendosi di enti ed associazioni senza fine di lucro, i servizi pubblici necessari per l'assistenza
socio-sanitaria ai tossicodipendenti, gli interventi anche di tipo preventivo previsti dalle leggi e
l'applicazione delle misure amministrative previste;
c) assistenza, integrazione sociale e diritti delle persone handicappate effettuati, in particolare, al fine di:
1) accertare l'handicap ed assicurare la funzionalità dei servizi terapeutici e riabilitativi, di aiuto
personale e familiare, nonché interventi economici integrativi ed altre agevolazioni;
2) curare l'integrazione sociale, l'educazione, l'istruzione e l'informazione alla famiglia del
portatore di handicap, nonché il collocamento obbligatorio nei casi previsti dalla legge;
3) realizzare comunità-alloggio e centri socio riabilitativi;
4) curare la tenuta degli albi degli enti e delle associazioni ed organizzazioni di volontariato
impegnati nel settore.
2. Ai trattamenti di cui al presente articolo si applicano le disposizioni di cui all'articolo 85, comma 4.
Capo IV - Prescrizioni mediche
Art. 87. Medicinali a carico del Servizio sanitario nazionale
1. Le ricette relative a prescrizioni di medicinali a carico, anche parziale, del Servizio sanitario nazionale sono
redatte secondo il modello di cui al comma 2, conformato in modo da permettere di risalire all'identità
dell'interessato solo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di
verifiche amministrative o per scopi epidemiologici e di ricerca, nel rispetto delle norme deontologiche applicabili.
2. Il modello cartaceo per le ricette di medicinali relative a prescrizioni di medicinali a carico, anche parziale, del
Servizio sanitario nazionale, di cui agli allegati 1, 3, 5 e 6 del decreto del Ministro della sanità 11 luglio 1988, n.
350, e al capitolo 2, paragrafo 2.2.2. del relativo disciplinare tecnico, è integrato da un tagliando predisposto su
carta o con tecnica di tipo copiativo e unito ai bordi delle zone indicate nel comma 3.
3. Il tagliando di cui al comma 2 è apposto sulle zone del modello predisposte per l'indicazione delle generalità e
dell'indirizzo dell'assistito, in modo da consentirne la visione solo per effetto di una momentanea separazione del
tagliando medesimo che risulti necessaria ai sensi dei commi 4 e 5.
4. Il tagliando può essere momentaneamente separato dal modello di ricetta, e successivamente riunito allo stesso,
quando il farmacista lo ritiene indispensabile, mediante sottoscrizione apposta sul tagliando, per una effettiva
necessità connessa al controllo della correttezza della prescrizione, anche per quanto riguarda la corretta fornitura
del farmaco.
5. Il tagliando può essere momentaneamente separato nei modi di cui al comma 3 anche presso i competenti organi
per fini di verifica amministrativa sulla correttezza della prescrizione, o da parte di soggetti legittimati a svolgere
indagini epidemiologiche o di ricerca in conformità alla legge, quando è indispensabile per il perseguimento delle
rispettive finalità.
6. Con decreto del Ministro della salute, sentito il Garante, può essere individuata una ulteriore soluzione tecnica
diversa da quella indicata nel comma 1, basata sull'uso di una fascetta adesiva o su altra tecnica equipollente
relativa anche a modelli non cartacei.
Art. 88. Medicinali non a carico del Servizio sanitario nazionale
1. Nelle prescrizioni cartacee di medicinali soggetti a prescrizione ripetibile non a carico, anche parziale, del Servizio
sanitario nazionale, le generalità dell'interessato non sono indicate.
2. Nei casi di cui al comma 1 il medico può indicare le generalità dell'interessato solo se ritiene indispensabile
permettere di risalire alla sua identità, per un'effettiva necessità derivante dalle particolari condizioni del medesimo
interessato o da una speciale modalità di preparazione o di utilizzazione.
Art. 89. Casi particolari
1. Le disposizioni del presente capo non precludono l'applicazione di disposizioni normative che prevedono il rilascio
di ricette che non identificano l'interessato o recanti particolari annotazioni, contenute anche nel decreto-legge 17
febbraio 1998, n. 23, convertito, con modificazioni, dalla legge 8 aprile 1998, n. 94.
2. Nei casi in cui deve essere accertata l'identità dell'interessato ai sensi del testo unico delle leggi in materia di
disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di
tossicodipendenza, approvato con decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, e successive
modificazioni, le ricette sono conservate separatamente da ogni altro documento che non ne richiede l'utilizzo.
2-bis. Per i soggetti di cui all'articolo 78, l'attuazione delle disposizioni di cui all'articolo 87, comma 3, e 88, comma
1, è subordinata ad un'esplicita richiesta dell'interessato.
Capo V - Dati genetici
Art. 90. Trattamento dei dati genetici e donatori di midollo osseo
1. Il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita
autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio
superiore di sanità.
2. L'autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell'informativa ai sensi
dell'articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche
in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di
opporsi al medesimo trattamento per motivi legittimi.
3. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n. 52, ha il diritto e il dovere di mantenere
l'anonimato sia nei confronti del ricevente sia nei confronti di terzi.
Capo VI - Disposizioni varie
Art. 91. Dati trattati mediante carte
1. Il trattamento in ogni forma di dati idonei a rivelare lo stato di salute o la vita sessuale eventualmente registrati
su carte anche non elettroniche, compresa la carta nazionale dei servizi, o trattati mediante le medesime carte è
consentito se necessario ai sensi dell'articolo 3, nell'osservanza di misure ed accorgimenti prescritti dal Garante nei
modi di cui all'articolo 17.
Art. 92. Cartelle cliniche
1. Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartella clinica in conformità alla
disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per
distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni
relative a nascituri.
2. Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di dimissione
ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, solo se la
richiesta è giustificata dalla documentata necessità:
a) di far valere o difendere un diritto in sede giudiziaria ai sensi dell'articolo 26, comma 4, lettera c), di
rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o
libertà fondamentale e inviolabile;
b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione
giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della
personalità o in un altro diritto o libertà fondamentale e inviolabile.
Art. 93. Certificato di assistenza al parto
1. Ai fini della dichiarazione di nascita il certificato di assistenza al parto è sempre sostituito da una semplice
attestazione contenente i soli dati richiesti nei registri di nascita. Si osservano, altresì, le disposizioni dell'articolo
109.
2. Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei dati personali che rendono
identificabile la madre che abbia dichiarato di non voler essere nominata avvalendosi della facoltà di cui all'articolo
30, comma 1, del decreto del Presidente della Repubblica 3 novembre 2000, n. 396, possono essere rilasciati in
copia integrale a chi vi abbia interesse, in conformità alla legge, decorsi cento anni dalla formazione del documento.
3. Durante il periodo di cui al comma 2 la richiesta di accesso al certificato o alla cartella può essere accolta
relativamente ai dati relativi alla madre che abbia dichiarato di non voler essere nominata, osservando le opportune
cautele per evitare che quest'ultima sia identificabile.
Art. 94. Banche di dati, registri e schedari in ambito sanitario
1. Il trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati, schedari, archivi o registri
tenuti in ambito sanitario, è effettuato nel rispetto dell'articolo 3 anche presso banche di dati, schedari, archivi o
registri già istituiti alla data di entrata in vigore del presente codice e in riferimento ad accessi di terzi previsti dalla
disciplina vigente alla medesima data, in particolare presso:
a) il registro nazionale dei casi di mesotelioma asbesto-correlati istituito presso l'Istituto superiore per la
prevenzione e la sicurezza del lavoro (Ispesl), di cui all'articolo 1 del decreto del Presidente del Consiglio
dei ministri 10 dicembre 2002, n. 308;
b) la banca di dati in materia di sorveglianza della malattia di Creutzfeldt-Jakob o delle varianti e sindromi
ad essa correlate, di cui al decreto del Ministro della salute in data 21 dicembre 2001, pubblicato nella
Gazzetta Ufficiale n. 8 del 10 gennaio 2002;
c) il registro nazionale delle malattie rare di cui all'articolo 3 del decreto del Ministro della sanità in data
18 maggio 2001, n. 279;
d) i registri dei donatori di midollo osseo istituiti in applicazione della legge 6 marzo 2001, n. 52;
e) gli schedari dei donatori di sangue di cui all'articolo 15 del decreto del Ministro della sanità in data 26
gennaio 2001, pubblicato nella Gazzetta Ufficiale n. 78 del 3 aprile 2001.
Titolo VI - Istruzione
Capo I - Profili generali
Art. 95. Dati sensibili e giudiziari
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di istruzione e di
formazione in ambito scolastico, professionale, superiore o universitario, con particolare riferimento a quelle svolte
anche in forma integrata.
Art. 96. Trattamento di dati relativi a studenti
1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli
istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a
privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali
diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli
interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette
finalità.
2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno
1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in
materia di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e
certificati.
Titolo VII - Trattamento per scopi storici, statistici o scientifici
Capo I - Profili generali
Art. 97. Ambito applicativo
1. Il presente titolo disciplina il trattamento dei dati personali effettuato per scopi storici, statistici o scientifici.
Art. 98. Finalità di rilevante interesse pubblico
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità relative ai trattamenti
effettuati da soggetti pubblici:
a) per scopi storici, concernenti la conservazione, l'ordinamento e la comunicazione dei documenti
detenuti negli archivi di Stato e negli archivi storici degli enti pubblici, secondo quanto disposto dal
decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e
ambientali, come modificato dal presente codice;
b) che fanno parte del Sistema statistico nazionale (Sistan) ai sensi del decreto
legislativo 6 settembre 1989, n. 322, e successive modificazioni;
c) per scopi scientifici.
Art. 99. Compatibilità tra scopi e durata del trattamento
1. Il trattamento di dati personali effettuato per scopi storici, statistici o scientifici è considerato compatibile con i
diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
2. Il trattamento di dati personali per scopi storici, statistici o scientifici può essere effettuato anche oltre il periodo
di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati.
3. Per scopi storici, statistici o scientifici possono comunque essere conservati o ceduti ad altro titolare i dati
personali dei quali, per qualsiasi causa, è cessato il trattamento.
Art. 100. Dati relativi ad attività di studio e ricerca
1. Al fine di promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico i soggetti
pubblici, ivi comprese le università e gli enti di ricerca, possono con autonome determinazioni comunicare e
diffondere, anche a privati e per via telematica, dati relativi ad attività di studio e di ricerca, a laureati, dottori di
ricerca, tecnici e tecnologi, ricercatori, docenti, esperti e studiosi, con esclusione di quelli sensibili o giudiziari.
2. Resta fermo il diritto dell'interessato di opporsi per motivi legittimi ai sensi dell'articolo 7, comma 4, lettera a).
3. I dati di cui al presente articolo non costituiscono documenti amministrativi ai sensi della legge 7 agosto 1990,
n. 241.
4. I dati di cui al presente articolo possono essere successivamente trattati per i soli scopi in base ai quali sono
comunicati o diffusi.
Capo II - Trattamento per scopi storici
Art. 101. Modalità di trattamento
1. I dati personali raccolti per scopi storici non possono essere utilizzati per adottare atti o provvedimenti
amministrativi sfavorevoli all'interessato, salvo che siano utilizzati anche per altre finalità nel rispetto dell'articolo
11.
2. I documenti contenenti dati personali, trattati per scopi storici, possono essere utilizzati, tenendo conto della loro
natura, solo se pertinenti e indispensabili per il perseguimento di tali scopi. I dati personali diffusi possono essere
utilizzati solo per il perseguimento dei medesimi scopi.
3. I dati personali possono essere comunque diffusi quando sono relativi a circostanze o fatti resi noti direttamente
dall'interessato o attraverso suoi comportamenti in pubblico.
Art. 102. Codice di deontologia e di buona condotta
1. Il Garante promuove ai sensi dell'articolo 12 la sottoscrizione di un codice di deontologia e di buona condotta per
i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al
trattamento dei dati per scopi storici.
2. Il codice di deontologia e di buona condotta di cui al comma 1 individua, in particolare:
a) le regole di correttezza e di non discriminazione nei confronti degli utenti da osservare anche nella
comunicazione e diffusione dei dati, in armonia con le disposizioni del presente codice applicabili ai
trattamenti di dati per finalità giornalistiche o di pubblicazione di articoli, saggi e altre manifestazioni del
pensiero anche nell'espressione artistica;
b) le particolari cautele per la raccolta, la consultazione e la diffusione di documenti concernenti dati
idonei a rivelare lo stato di salute, la vita sessuale o rapporti riservati di tipo familiare, identificando casi in
cui l'interessato o chi vi abbia interesse è informato dall'utente della prevista diffusione di dati;
c) le modalità di applicazione agli archivi privati della disciplina dettata in materia di trattamento dei dati a
scopi storici, anche in riferimento all'uniformità dei criteri da seguire per la consultazione e alle cautele da
osservare nella comunicazione e nella diffusione.
Art. 103. Consultazione di documenti conservati in archivi
1. La consultazione dei documenti conservati negli archivi di Stato, in quelli storici degli enti pubblici e in archivi
privati è disciplinata dal decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di
beni culturali e ambientali, come modificato dal presente codice.
Capo III - Trattamento per scopi statistici o scientifici
Art. 104. Ambito applicativo e dati identificativi per scopi statistici o scientifici
1. Le disposizioni del presente capo si applicano ai trattamenti di dati per scopi statistici o, in quanto compatibili,
per scopi scientifici.
2. Agli effetti dell'applicazione del presente capo, in relazione ai dati identificativi si tiene conto dell'insieme dei
mezzi che possono essere ragionevolmente utilizzati dal titolare o da altri per identificare l'interessato, anche in
base alle conoscenze acquisite in relazione al progresso tecnico.
Art. 105. Modalità di trattamento
1. I dati personali trattati per scopi statistici o scientifici non possono essere utilizzati per prendere decisioni o
provvedimenti relativamente all'interessato, né per trattamenti di dati per scopi di altra natura.
2. Gli scopi statistici o scientifici devono essere chiaramente determinati e resi noti all'interessato, nei modi di cui
all'articolo 13 anche in relazione a quanto previsto dall'articolo 106, comma 2, lettera b), del presente codice e
dall'articolo 6-bis del decreto legislativo 6 settembre 1989, n. 322, e successive modificazioni.
3. Quando specifiche circostanze individuate dai codici di cui all'articolo 106 sono tali da consentire ad un soggetto
di rispondere in nome e per conto di un altro, in quanto familiare o convivente, l'informativa all'interessato può
essere data anche per il tramite del soggetto rispondente.
4. Per il trattamento effettuato per scopi statistici o scientifici rispetto a dati raccolti per altri scopi, l'informativa
all'interessato non è dovuta quando richiede uno sforzo sproporzionato rispetto al diritto tutelato, se sono adottate
le idonee forme di pubblicità individuate dai codici di cui all'articolo 106.
Art. 106. Codici di deontologia e di buona condotta
1. Il Garante promuove ai sensi dell'articolo 12 la sottoscrizione di uno o più codici di deontologia e di buona
condotta per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali,
interessati al trattamento dei dati per scopi statistici o scientifici.
2. Con i codici di cui al comma 1 sono individuati, tenendo conto, per i soggetti già compresi nell'ambito del
Sistema statistico nazionale, di quanto già previsto dal decreto legislativo 6 settembre 1989, n. 322, e successive
modificazioni, e, per altri soggetti, sulla base di analoghe garanzie, in particolare:
a) i presupposti e i procedimenti per documentare e verificare che i trattamenti, fuori dai casi previsti dal
medesimo decreto legislativo n. 322 del 1989, siano effettuati per idonei ed effettivi scopi statistici o
scientifici;
b) per quanto non previsto dal presente codice, gli ulteriori presupposti del trattamento e le connesse
garanzie, anche in riferimento alla durata della conservazione dei dati, alle informazioni da rendere agli
interessati relativamente ai dati raccolti anche presso terzi, alla comunicazione e diffusione, ai criteri
selettivi da osservare per il trattamento di dati identificativi, alle specifiche misure di sicurezza e alle
modalità per la modifica dei dati a seguito dell'esercizio dei diritti dell'interessato, tenendo conto dei
principi contenuti nelle pertinenti raccomandazioni del Consiglio d'Europa;
c) l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri
per identificare l'interessato, anche in relazione alle conoscenze acquisite in base al progresso tecnico;
d) le garanzie da osservare ai fini dell'applicazione delle disposizioni di cui all'articolo 24, comma 1, lettera
i), e 43, comma 1, lettera g), che permettono di prescindere dal consenso dell'interessato, tenendo conto
dei principi contenuti nelle predette raccomandazioni;
e) modalità semplificate per la prestazione del consenso degli interessati relativamente al trattamento dei
dati sensibili;
f) le regole di correttezza da osservare nella raccolta dei dati e le istruzioni da impartire al personale
incaricato;
g) le misure da adottare per favorire il rispetto dei principi di pertinenza e non eccedenza dei dati e delle
misure di sicurezza di cui all'articolo 31, anche in riferimento alle cautele volte ad impedire l'accesso da
parte di persone fisiche che non sono incaricati e l'identificazione non autorizzata degli interessati,
all'interconnessione dei sistemi informativi anche nell'ambito del Sistema statistico nazionale e
all'interscambio di dati per scopi statistici o scientifici da effettuarsi con enti ed uffici situati all'estero
anche sulla base delle garanzie previste dall'articolo 44, comma 1, lettera a);
h) l'impegno al rispetto di regole di condotta degli incaricati che non sono tenuti in base alla legge al
segreto d'ufficio o professionale, tali da assicurare analoghi livelli di sicurezza e di riservatezza.
Art. 107. Trattamento di dati sensibili
1. Fermo restando quanto previsto dall'articolo 20 e fuori dei casi di particolari indagini statistiche o di ricerca
scientifica previste dalla legge, il consenso dell'interessato al trattamento di dati sensibili, quando è richiesto, può
essere prestato con modalità semplificate, individuate dal codice di cui all'articolo 106 e l'autorizzazione del Garante
può essere rilasciata anche ai sensi dell'articolo 40.
Art. 108. Sistema statistico nazionale
1. Il trattamento di dati personali da parte di soggetti che fanno parte del Sistema statistico nazionale, oltre a
quanto previsto dal codice di deontologia e di buona condotta sottoscritto ai sensi dell'articolo 106, comma 2, resta
inoltre disciplinato dal decreto legislativo 6 settembre 1989, n. 322, e successive modificazioni, in particolare per
quanto riguarda il trattamento dei dati sensibili indicati nel programma statistico nazionale, l'informativa
all'interessato, l'esercizio dei relativi diritti e i dati non tutelati dal segreto statistico ai sensi dell'articolo 9, comma
4, del medesimo decreto.
Art. 109. Dati statistici relativi all'evento della nascita
1. Per la rilevazione dei dati statistici relativi agli eventi di nascita, compresi quelli relativi ai nati affetti da
malformazioni e ai nati morti, nonché per i flussi di dati anche da parte di direttori sanitari, si osservano, oltre alle
disposizioni di cui al decreto del Ministro della sanità 16 luglio 2001, n. 349, le modalità tecniche determinate
dall'Istituto nazionale della statistica, sentito il Ministro della salute, dell'interno e il Garante.
Art. 110. Ricerca medica, biomedica ed epidemiologica
1. Il consenso dell'interessato per il trattamento dei dati idonei a rivelare lo stato di salute, finalizzato a scopi di
ricerca scientifica in campo medico, biomedico o epidemiologico, non è necessario quando la ricerca è prevista da
un'espressa disposizione di legge che prevede specificamente il trattamento, ovvero rientra in un programma di
ricerca biomedica o sanitaria previsto ai sensi dell'articolo 12-bis del decreto legislativo 30 dicembre 1992, n. 502, e
successive modificazioni, e per il quale sono decorsi quarantacinque giorni dalla comunicazione al Garante ai sensi
dell'articolo 39. Il consenso non è inoltre necessario quando a causa di particolari ragioni non è possibile informare
gli interessati e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a
livello territoriale ed è autorizzato dal Garante anche ai sensi dell'articolo 40.
2. In caso di esercizio dei diritti dell'interessato ai sensi dell'articolo 7 nei riguardi dei trattamenti di cui al comma 1,
l'aggiornamento, la rettificazione e l'integrazione dei dati sono annotati senza modificare questi ultimi, quando il
risultato di tali operazioni non produce effetti significativi sul risultato della ricerca.
Titolo VIII - Lavoro e previdenza sociale
Capo I - Profili generali
Art. 111. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato per finalità previdenziali o per
la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l'informativa all'interessato e per
l'eventuale prestazione del consenso relativamente alla pubblicazione degli annunci per finalità di occupazione di cui
all'articolo 113, comma 3 e alla ricezione di curricula contenenti dati personali anche sensibili.
Art. 112. Finalità di rilevante interesse pubblico
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di instaurazione e gestione
da parte di soggetti pubblici di rapporti di lavoro di qualunque tipo, dipendente o autonomo, anche non retribuito o
onorario o a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la costituzione di un
rapporto di lavoro subordinato.
2. Tra i trattamenti effettuati per le finalità di cui al comma 1, si intendono ricompresi, in particolare, quelli
effettuati al fine di:
a) applicare la normativa in materia di collocamento obbligatorio e assumere personale anche
appartenente a categorie protette;
b) garantire le pari opportunità;
c) accertare il possesso di particolari requisiti previsti per l'accesso a specifici impieghi, anche in materia
di tutela delle minoranze linguistiche, ovvero la sussistenza dei presupposti per la sospensione o la
cessazione dall'impiego o dal servizio, il trasferimento di sede per incompatibilità e il conferimento di
speciali abilitazioni;
d) adempiere ad obblighi connessi alla definizione dello stato giuridico ed economico, ivi compreso il
riconoscimento della causa di servizio o dell'equo indennizzo, nonché ad obblighi retributivi, fiscali o
contabili, relativamente al personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e
benefici assistenziali;
e) adempiere a specifici obblighi o svolgere compiti previsti dalla normativa in materia di igiene e
sicurezza del lavoro o di sicurezza o salute della popolazione, nonché in materia sindacale;
f) applicare, anche da parte di enti previdenziali ed assistenziali, la normativa in materia di previdenza ed
assistenza ivi compresa quella integrativa, anche in applicazione del decreto legislativo del Capo
provvisorio dello Stato 29 luglio 1947, n. 804, riguardo alla comunicazione di dati, anche mediante reti di
comunicazione elettronica, agli istituti di patronato e di assistenza sociale, alle associazioni di categoria e
agli ordini professionali che abbiano ottenuto il consenso dell'interessato ai sensi dell'articolo 23 in
relazione a tipi di dati individuati specificamente;
g) svolgere attività dirette all'accertamento della responsabilità civile, disciplinare e contabile ed
esaminare i ricorsi amministrativi in conformità alle norme che regolano le rispettive materie;
h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle procedure di arbitrato o di
conciliazione nei casi previsti dalla legge o dai contratti collettivi di lavoro;
i) salvaguardare la vita o l'incolumità fisica dell'interessato o di terzi;
l) gestire l'anagrafe dei pubblici dipendenti e applicare la normativa in materia di assunzione di incarichi
da parte di dipendenti pubblici, collaboratori e consulenti;
m) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo parziale;
n) svolgere l'attività di indagine e ispezione presso soggetti pubblici;
o) valutare la qualità dei servizi resi e dei risultati conseguiti.
3. La diffusione dei dati di cui alle lettere m), n) ed o) del comma 2 è consentita in forma anonima e, comunque,
tale da non consentire l'individuazione dell'interessato.
Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro
Art. 113. Raccolta di dati e pertinenza
1. Resta fermo quanto disposto dall'articolo 8 della legge 20 maggio 1970, n. 300.
Capo III - Divieto di controllo a distanza e telelavoro
Art. 114. Controllo a distanza
1. Resta fermo quanto disposto dall'articolo 4 della legge 20 maggio 1970, n. 300.
Art. 115. Telelavoro e lavoro a domicilio
1. Nell'ambito del rapporto di lavoro domestico e del telelavoro il datore di lavoro è tenuto a garantire al lavoratore
il rispetto della sua personalità e della sua libertà morale.
2. Il lavoratore domestico è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita
familiare.
Capo IV - Istituti di patronato e di assistenza sociale
Art. 116. Conoscibilità di dati su mandato dell'interessato
1. Per lo svolgimento delle proprie attività gli istituti di patronato e di assistenza sociale, nell'ambito del mandato
conferito dall'interessato, possono accedere alle banche di dati degli enti eroganti le prestazioni, in relazione a tipi
di dati individuati specificamente con il consenso manifestato ai sensi dell'articolo 23.
2. Il Ministro del lavoro e delle politiche sociali stabilisce con proprio decreto le linee-guida di apposite convenzioni
da stipulare tra gli istituti di patronato e di assistenza sociale e gli enti eroganti le prestazioni.
Titolo IX - Sistema bancario, finanziario ed assicurativo
Capo I - Sistemi informativi
Art. 117. Affidabilità e puntualità nei pagamenti
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali effettuato nell'ambito di sistemi informativi di cui sono titolari soggetti privati,
utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l'affidabilità e la puntualità nei
pagamenti da parte degli interessati, individuando anche specifiche modalità per garantire la comunicazione di dati
personali esatti e aggiornati nel rispetto dei diritti dell'interessato.
Art. 118. Informazioni commerciali
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali effettuato a fini di informazione commerciale, prevedendo anche, in
correlazione con quanto previsto dall' articolo 13, comma 5, modalità semplificate per l'informativa all'interessato e
idonei meccanismi per garantire la qualità e l'esattezza dei dati raccolti e comunicati.
Art. 119. Dati relativi al comportamento debitorio
1. Con il codice di deontologia e di buona condotta di cui all'articolo 118 sono altresì individuati termini armonizzati
di conservazione dei dati personali contenuti, in particolare, in banche di dati, registri ed elenchi tenuti da soggetti
pubblici e privati, riferiti al comportamento debitorio dell'interessato nei casi diversi da quelli disciplinati nel codice
di cui all'articolo 117, tenendo conto della specificità dei trattamenti nei diversi ambiti.
Art. 120. Sinistri
1. L'Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (ISVAP) definisce con proprio
provvedimento le procedure e le modalità di funzionamento della banca di dati dei sinistri istituita per la
prevenzione e il contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli a
motore immatricolati in Italia, stabilisce le modalità di accesso alle informazioni raccolte dalla banca dati per gli
organi giudiziari e per le pubbliche amministrazioni competenti in materia di prevenzione e contrasto di
comportamenti fraudolenti nel settore delle assicurazioni obbligatorie, nonché le modalità e i limiti per l'accesso alle
informazioni da parte delle imprese di assicurazione.
2. Il trattamento e la comunicazione ai soggetti di cui al comma 1 dei dati personali sono consentiti per lo
svolgimento delle funzioni indicate nel medesimo comma.
3. Per quanto non previsto dal presente articolo si applicano le disposizioni dell'articolo 135 del Codice delle
assicurazioni private.
Titolo X - Comunicazioni elettroniche
Capo I - Servizi di comunicazione elettronica
Art. 121. Servizi interessati
1. Le disposizioni del presente titolo si applicano al trattamento dei dati personali connesso alla fornitura di servizi
di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni.
Art. 122. Informazioni raccolte nei riguardi dell'abbonato o dell'utente
1. Salvo quanto previsto dal comma 2, è vietato l'uso di una rete di comunicazione elettronica per accedere a
informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per
monitorare le operazioni dell'utente.
2. Il codice di deontologia di cui all'articolo 133 individua i presupposti e i limiti entro i quali l'uso della rete nei
modi di cui al comma 1, per determinati scopi legittimi relativi alla memorizzazione tecnica per il tempo
strettamente necessario alla trasmissione della comunicazione o a fornire uno specifico servizio richiesto
dall'abbonato o dall'utente, è consentito al fornitore del servizio di comunicazione elettronica nei riguardi
dell'abbonato e dell'utente che abbiano espresso il consenso sulla base di una previa informativa ai sensi
dell'articolo 13 che indichi analiticamente, in modo chiaro e preciso, le finalità e la durata del trattamento.
Art. 123. Dati relativi al traffico
1. I dati relativi al traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o
di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono
più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e
5.
2. Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l'abbonato, ovvero di
pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione
della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l'ulteriore specifica
conservazione necessaria per effetto di una contestazione anche in sede giudiziale.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2
nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la
fornitura di servizi a valore aggiunto, solo se l'abbonato o l'utente cui i dati si riferiscono hanno manifestato il
proprio consenso, che è revocabile in ogni momento.
4. Nel fornire l'informativa di cui all'articolo 13 il fornitore del servizio informa l'abbonato o l'utente sulla natura dei
dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai
commi 2 e 3.
5. Il trattamento dei dati personali relativi al traffico è consentito unicamente ad incaricati del trattamento che
operano ai sensi dell'articolo 30 sotto la diretta autorità del fornitore del servizio di comunicazione elettronica
accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano
della fatturazione o della gestione del traffico, di analisi per conto di clienti, dell'accertamento di frodi, o della
commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il
trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare
l'identificazione dell'incaricato che accede ai dati anche mediante un'operazione di interrogazione automatizzata.
6. L'Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai
fini della risoluzione di controversie attinenti, in particolare, all'interconnessione o alla fatturazione.
Art. 124. Fatturazione dettagliata
1. L'abbonato ha diritto di ricevere in dettaglio, a richiesta e senza alcun aggravio di spesa, la dimostrazione degli
elementi che compongono la fattura relativi, in particolare, alla data e all'ora di inizio della conversazione, al
numero selezionato, al tipo di numerazione, alla località, alla durata e al numero di scatti addebitati per ciascuna
conversazione.
2. Il fornitore del servizio di comunicazione elettronica accessibile al pubblico è tenuto ad abilitare l'utente ad
effettuare comunicazioni e a richiedere servizi da qualsiasi terminale, gratuitamente ed in modo agevole,
avvalendosi per il pagamento di modalità alternative alla fatturazione, anche impersonali, quali carte di credito o di
debito o carte prepagate.
3. Nella documentazione inviata all'abbonato relativa alle comunicazioni effettuate non sono evidenziati i servizi e le
comunicazioni di cui al comma 2, né le comunicazioni necessarie per attivare le modalità alternative alla
fatturazione.
4. Nella fatturazione all'abbonato non sono evidenziate le ultime tre cifre dei numeri chiamati. Ad esclusivi fini di
specifica contestazione dell'esattezza di addebiti determinati o riferiti a periodi limitati, l'abbonato può richiedere la
comunicazione dei numeri completi delle comunicazioni in questione.
5. Il Garante, accertata l'effettiva disponibilità delle modalità di cui al comma 2, può autorizzare il fornitore ad
indicare nella fatturazione i numeri completi delle comunicazioni.
Art. 125. Identificazione della linea
1. Se è disponibile la presentazione dell'identificazione della linea chiamante, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico assicura all'utente chiamante la possibilità di impedire,
gratuitamente e mediante una funzione semplice, la presentazione dell'identificazione della linea chiamante,
chiamata per chiamata. L'abbonato chiamante deve avere tale possibilità linea per linea.
2. Se è disponibile la presentazione dell'identificazione della linea chiamante, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico assicura all'abbonato chiamato la possibilità di impedire,
gratuitamente e mediante una funzione semplice, la presentazione dell'identificazione delle chiamate entranti.
3. Se è disponibile la presentazione dell'identificazione della linea chiamante e tale indicazione avviene prima che la
comunicazione sia stabilita, il fornitore del servizio di comunicazione elettronica accessibile al pubblico assicura
all'abbonato chiamato la possibilità, mediante una funzione semplice e gratuita, di respingere le chiamate entranti
se la presentazione dell'identificazione della linea chiamante è stata eliminata dall'utente o abbonato chiamante.
4. Se è disponibile la presentazione dell'identificazione della linea collegata, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico assicura all'abbonato chiamato la possibilità di impedire,
gratuitamente e mediante una funzione semplice, la presentazione dell'identificazione della linea collegata all'utente
chiamante.
5. Le disposizioni di cui al comma 1 si applicano anche alle chiamate dirette verso Paesi non appartenenti all'Unione
europea. Le disposizioni di cui ai commi 2, 3 e 4 si applicano anche alle chiamate provenienti da tali Paesi.
6. Se è disponibile la presentazione dell'identificazione della linea chiamante o di quella collegata, il fornitore del
servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e gli utenti dell'esistenza di tale
servizio e delle possibilità previste ai commi 1, 2, 3 e 4.
Art. 126. Dati relativi all'ubicazione
1. I dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di
comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se
anonimi o se l'utente o l'abbonato ha manifestato previamente il proprio consenso, revocabile in ogni momento, e
nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.
2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e gli abbonati sulla natura dei dati
relativi all'ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla
durata di quest'ultimo, nonché sull'eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio
a valore aggiunto.
3. L'utente e l'abbonato che manifestano il proprio consenso al trattamento dei dati relativi all'ubicazione, diversi
dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice,
l'interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione
di comunicazioni.
4. Il trattamento dei dati relativi all'ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1, 2 e 3, è
consentito unicamente ad incaricati del trattamento che operano ai sensi dell'articolo 30, sono la diretta autorità del
fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della
rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a
quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare l'identificazione
dell'incaricato che accede ai dati anche mediante un'operazione di interrogazione automatizzata.
Art. 127. Chiamate di disturbo e di emergenza
1. L'abbonato che riceve chiamate di disturbo può richiedere che il fornitore della rete pubblica di comunicazioni o
del servizio di comunicazione elettronica accessibile al pubblico renda temporaneamente inefficace la soppressione
della presentazione dell'identificazione della linea chiamante e conservi i dati relativi alla provenienza della
chiamata ricevuta. L'inefficacia della soppressione può essere disposta per i soli orari durante i quali si verificano le
chiamate di disturbo e per un periodo non superiore a quindici giorni.
2. La richiesta formulata per iscritto dall'abbonato specifica le modalità di ricezione delle chiamate di disturbo e nel
caso in cui sia preceduta da una richiesta telefonica è inoltrata entro quarantotto ore.
3. I dati conservati ai sensi del comma 1 possono essere comunicati all'abbonato che dichiari di utilizzarli per
esclusive finalità di tutela rispetto a chiamate di disturbo. Per i servizi di cui al comma 1 il fornitore assicura
procedure trasparenti nei confronti degli abbonati e può richiedere un contributo spese non superiore ai costi
effettivamente sopportati.
4. Il fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al
pubblico predispone procedure trasparenti per garantire, linea per linea, l'inefficacia della soppressione
dell'identificazione della linea chiamante, nonché, ove necessario, il trattamento dei dati relativi all'ubicazione,
nonostante il rifiuto o il mancato consenso temporanei dell'abbonato o dell'utente, da parte dei servizi abilitati in
base alla legge a ricevere chiamate d'emergenza. I servizi sono individuati con decreto del Ministro delle
comunicazioni, sentiti il Garante e l'Autorità per le garanzie nelle comunicazioni.
Art. 128. Trasferimento automatico della chiamata
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotta le misure necessarie per
consentire a ciascun abbonato, gratuitamente e mediante una funzione semplice, di poter bloccare il trasferimento
automatico delle chiamate verso il proprio terminale effettuato da terzi.
Art. 129. Elenchi di abbonati (1)
1. Il Garante individua con proprio provvedimento, in cooperazione con l'Autorità per le garanzie nelle
comunicazioni ai sensi dell'articolo 154, comma 3, e in conformità alla normativa comunitaria, le modalità di
inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a
disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del presente
codice.
2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all'inclusione
negli elenchi e, rispettivamente, all'utilizzo dei dati per le finalità di cui all'articolo 7, comma 4, lettera b), in base al
principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca dell'abbonato
per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini,
nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri.
(1) La legge 27 febbraio 2009, n. 14, in sede di conversione con modificazioni del decreto-legge 30 dicembre 2008, n. 207, vi ha aggiunto il
seguente comma:
Art. 44 - Disposizioni in materia di tutela della riservatezza
[...]
1-bis - I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici formati prima del 1° agosto 2005 sono lecitamente
utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati
personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a cos tituire dette banche
dati prima del 1° agosto 2005.
[...]
Art. 130. Comunicazioni indesiderate
1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario
o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il
consenso dell'interessato.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi
indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short
Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con
mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 nonché ai sensi di quanto previsto
dal comma 3-bis del presente articolo(1).
3-bis.(2) In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo 129, comma 1,
mediante l'impiego del telefono e della posta cartacea per le finalità di cui all'articolo 7, comma 4, lettera b), è
consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via
telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui
all'articolo 129, comma 1, in un registro pubblico delle opposizioni.
3-ter.(2) Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi
dell'articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri,
acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si
pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell'Autorità per
le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi
generali:
a) attribuzione dell'istituzione e della gestione del registro ad un ente o organismo pubblico titolare di
competenze inerenti alla materia;
b) previsione che l'ente o organismo deputato all'istituzione e alla gestione del registro vi provveda con le
risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne
assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del
codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006,
n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di
accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo
economico, con proprio provvedimento, determina tali tariffe;
c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere
che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via
telematica o telefonica;
d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni
selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il
tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
e) disciplina delle tempistiche e delle modalità dell'iscrizione al registro, senza distinzione di settore di
attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo
di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l'iscrizione abbia durata
indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all'articolo 7, comma 4,
lettera b), di garantire la presentazione dell'identificazione della linea chiamante e di fornire all'utente
idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a
futuri contatti;
g) previsione che l'iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati
nel rispetto degli articoli 23 e 24.
3-quater.(2) La vigilanza e il controllo sull'organizzazione e il funzionamento del registro di cui al comma 3-bis e sul
trattamento dei dati sono attribuiti al Garante
4. Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri
prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto
o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli
oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di
successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione
effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al
trattamento, in maniera agevole e gratuitamente.
5. É vietato in ogni caso l'invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo
promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il
quale l'interessato possa esercitare i diritti di cui all'articolo 7.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi
dell'articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di
adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui
sono stati inviate le comunicazioni.
(1) Comma così modificato dalla lettera a) del comma 1 dell'art. 20-bis, D.L. 25 settembre 2009, n. 135, aggiunto
dalla relativa legge di conversione 20 novembre 2009, n. 166.
(2) Comma aggiunto dalla lettera b) del comma 1 dell'art. 20-bis, D.L. 25 settembre 2009, n. 135, nel testo
integrato dalla relativa legge di conversione 20 novembre 2009, n. 166.
Al fine di delineare con completezza il quadro normativo vigente in materia, si riportano i commi 2, 3 e 4 dell'art. 20-bis della legge 20
novembre 2009, n. 166 di conversione, con modificazioni, del D.L. 25 settembre 2009, n. 135.
2. Il registro previsto dall' articolo 130, comma 3-bis, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal
comma 1, lettera b), del presente articolo, è istituito entro sei mesi dalla data di entrata in vigore della legge di conversione del
presente decreto. Fino al suddetto termine, restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali
ai sensi dell' articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione
dell' articolo 129 del medesimo codice.
3. All' articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio
2009, n. 14, le parole: "sino al 31 dicembre 2009" sono sostituite dalle seguenti: "sino al termine di sei mesi successivi alla data di
entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135".
4. All' articolo 58 del codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206, il comma 1 è sostituito dal
seguente:
"1. L'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza
l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dall'
articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n.
196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico".
Art. 131. Informazioni ad abbonati e utenti
1. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa l'abbonato e, ove possibile,
l'utente circa la sussistenza di situazioni che permettono di apprendere in modo non intenzionale il contenuto di
comunicazioni o conversazioni da parte di soggetti ad esse estranei.
2. L'abbonato informa l'utente quando il contenuto delle comunicazioni o conversazioni può essere appreso da altri
a causa del tipo di apparecchiature terminali utilizzate o del collegamento realizzato tra le stesse presso la sede
dell'abbonato medesimo.
3. L'utente informa l'altro utente quando, nel corso della conversazione, sono utilizzati dispositivi che consentono
l'ascolto della conversazione stessa da parte di altri soggetti.
Art. 132. Conservazione di dati di traffico per altre finalità (1)
1. Fermo restando quanto previsto dall'articolo 123, comma 2, i dati relativi al traffico telefonico, sono conservati
dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei
reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle
comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione. (2)
1-bis. (3) I dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di
comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per
trenta giorni.
2. [abrogato]
(4)
3. Entro il termine di cui al comma 1, i dati sono acquisiti presso il fornitore con decreto motivato del pubblico
ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e
delle altre parti private. Il difensore dell'imputato o della persona sottoposta alle indagini può richiedere,
direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'articolo
391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera f), per
il traffico entrante.
4. [abrogato]
(4)
4-bis. [abrogato]
(4)
4-ter. Il Ministro dell'interno o, su sua delega, i responsabili degli uffici centrali specialistici in materia informatica o
telematica della Polizia di Stato, dell'Arma dei carabinieri e del Corpo della guardia di finanza, nonché gli altri
soggetti indicati nel comma 1 dell'articolo 226 delle norme di attuazione, di coordinamento e transitorie del codice
di procedura penale, di cui al decreto legislativo 28 luglio 1989, n. 271, possono ordinare, anche in relazione alle
eventuali richieste avanzate da autorità investigative straniere, ai fornitori e agli operatori di servizi informatici o
telematici di conservare e proteggere, secondo le modalità indicate e per un periodo non superiore a novanta giorni,
i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento delle
investigazioni preventive previste dal citato articolo 226 delle norme di cui al decreto legislativo n. 271 del 1989,
ovvero per finalità di accertamento e repressione di specifici reati. Il provvedimento, prorogabile, per motivate
esigenze, per una durata complessiva non superiore a sei mesi, può prevedere particolari modalità di custodia dei
dati e l'eventuale indisponibilità dei dati stessi da parte dei fornitori e degli operatori di servizi informatici o
telematici ovvero di terzi.
4-quater. Il fornitore o l'operatore di servizi informatici o telematici cui è rivolto l'ordine previsto dal comma 4-ter
deve ottemperarvi senza ritardo, fornendo immediatamente all'autorità richiedente l'assicurazione
dell'adempimento. Il fornitore o l'operatore di servizi informatici o telematici è tenuto a mantenere il segreto
relativamente all'ordine ricevuto e alle attività conseguentemente svolte per il periodo indicato dall'autorità. In caso
di violazione dell'obbligo si applicano, salvo che il fatto costituisca più grave reato, le disposizioni dell'articolo 326
del codice penale.
4-quinquies. I provvedimenti adottati ai sensi del comma 4-ter sono comunicati per iscritto, senza ritardo e
comunque entro quarantotto ore dalla notifica al destinatario, al pubblico ministero del luogo di esecuzione il quale,
se ne ricorrono i presupposti, li convalida. In caso di mancata convalida, i provvedimenti assunti perdono efficacia.
5. (5) Il trattamento dei dati per le finalità di cui al comma 1 è effettuato nel rispetto delle misure e degli
accorgimenti a garanzia dell'interessato prescritti ai sensi dell'articolo 17, volti a garantire che i dati conservati
possiedano i medesimi requisiti di qualità, sicurezza e protezione dei dati in rete, nonché a:
a) prevedere in ogni caso specifici sistemi di autenticazione informatica e di autorizzazione degli incaricati
del trattamento di cui all'allegato B);
b) [soppressa] (6)
c) [soppressa] (6)
d) indicare le modalità tecniche per la periodica distruzione dei dati, decorsi i termini di cui al comma 1.
(1) Articolo così modificato, inizialmente, dal decreto-legge 24 dicembre 2003, n. 354, convertito dalla legge 26 febbraio 2004, n. 45, recante
interventi per l'amministrazione della giustizia; poi dal decreto-legge 27 luglio 2005, n. 144, convertito dalla legge 31 luglio 2005, n. 155,
recante misure urgenti per il contrasto del terrorismo internazionale; successivamente, dalla legge 18 marzo 2008, n. 48, recante ratifica ed
esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di
adeguamento dell'ordinamento interno; e, da ultimo, dal decreto legislativo 30 maggio 2008, n. 109, di attuazione della direttiva 2006/24/Ce
riguardante la conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico
o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce.
Al fine di delineare con completezza il quadro normativo vigente in materia, si riporta l'articolo 6, comma 1, e 7 del decreto-legge del 27 luglio
2005, n. 144 "Misure urgenti per il contrasto del terrorismo internazionale", come modificato dal decreto-legge del 31 dicembre 2007, n. 248,
convertito, con modificazioni, dalla legge n. 31 del 27 febbraio 2008:
6. Nuove norme sui dati del traffico telefonico e telematico
1. A decorrere dalla data di entrata in vigore del presente decreto e fino alla data di entrata in vigore del provvedime nto
legislativo di attuazione della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio, del 15 marzo 2006, e comunque no n
oltre il 31 dicembre 2008, è sospesa l'applicazione delle disposizioni di legge, di regolamento o dell'autorità amministrativ a che
prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione , e gli
stessi, esclusi comunque i contenuti delle comunicazioni e limitatamente alle informazioni che consentono la tracciab ilità degli
accessi, nonché, qualora disponibili, dei servizi, debbono essere conservati fino alla data di entrata in vigore del provvedi mento
legislativo di attuazione della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio, del 15 marzo 2006, e comunque non
oltre il 31 dicembre 2008, dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica
accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I d ati del traffico
conservati oltre i limiti previsti dall'articolo 132 del decreto legislativo 30 giugno 2003, n. 196, possono essere utilizzat i
esclusivamente per le finalità del presente decreto, salvo l'esercizio dell'azione penale per i reati comunque perseguibili.
7. Integrazione della disciplina amministrativa degli esercizi pubblici di telefonia e Internet
1. A decorrere dal quindicesimo giorno successivo alla data di entrata in vigore della legge di conversione del presente decr eto e
fino al 31 dicembre 2008, chiunque intende aprire un pubblico esercizio o un circolo privato di qualsiasi specie, nel quale sono
posti a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni anche telema tiche,
deve chiederne la licenza al questore. La licenza non è richiesta nel caso di sola installazione di telefoni pubblici a pagamento,
abilitati esclusivamente alla telefonia vocale.
2. Per coloro che già esercitano le attività di cui al comma 1, la licenza deve essere richiesta entro sessanta giorni dalla data di
entrata in vigore del presente decreto.
(2) Comma così modificato prima dall'art. 6, d.l. 27 luglio 2005, n. 144 e poi dall'art. 2 d.lg. 30 maggio 2008, n. 109.
(3) Il comma 1-bis, introdotto dall'articolo 2, comma 1, lett. b), del d.lg. 30 maggio 2008, n. 109, ha effetto decorsi tre mesi dalla sua data di
entrata in vigore (art. 6, comma 3, d.lg. 109/2008).
(4) Così abrogati dall'art. 2, comma 1, lettera c), d.lg. 109/2008.
(5) Così modificato dall'art. 2, comma 1, lettera d), d.lg. 109/2008.
(6) Così soppresse dall'art. 2, comma 1, lettera d), punto 2, d.lg. 109/2008.
Capo II - Internet e reti telematiche
Art. 133. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali effettuato da fornitori di servizi di comunicazione e informazione offerti
mediante reti di comunicazione elettronica, con particolare riguardo ai criteri per assicurare ed uniformare una più
adeguata informazione e consapevolezza degli utenti delle reti di comunicazione elettronica gestite da soggetti
pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare
attraverso informative fornite in linea in modo agevole e interattivo, per favorire una più ampia trasparenza e
correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all'articolo 11, anche ai fini
dell'eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato.
Capo III - Videosorveglianza
Art. 134. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali effettuato con strumenti elettronici di rilevamento di immagini, prevedendo
specifiche modalità di trattamento e forme semplificate di informativa all'interessato per garantire la liceità e la
correttezza anche in riferimento a quanto previsto dall'articolo 11.
Titolo XI - Libere professioni e investigazione privata
Capo I - Profili generali
Art. 135. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali effettuato per lo svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397, o per far valere o difendere un diritto in sede giudiziaria, in particolare da liberi
professionisti o da soggetti che esercitano un'attività di investigazione privata autorizzata in conformità alla legge.
Titolo XII - Giornalismo ed espressione letteraria ed artistica
Capo I - Profili generali
Art. 136. Finalità giornalistiche e altre manifestazioni del pensiero
1. Le disposizioni del presente titolo si applicano al trattamento:
a) effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative
finalità;
b) effettuato dai soggetti iscritti nell'elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26
e 33 della legge 3 febbraio 1963, n. 69;
c) temporaneo finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e
altre manifestazioni del pensiero anche nell'espressione artistica.
Art. 137. Disposizioni applicabili
1. Ai trattamenti indicati nell'articolo 136 non si applicano le disposizioni del presente codice relative:
a) all'autorizzazione del Garante prevista dall'articolo 26;
b) alle garanzie previste dall'articolo 27 per i dati giudiziari;
c) al trasferimento dei dati all'estero, contenute nel Titolo VII della Parte I.
2. Il trattamento dei dati di cui al comma 1 è effettuato anche senza il consenso dell'interessato previsto dagli
articoli 23 e 26.
3. In caso di diffusione o di comunicazione dei dati per le finalità di cui all'articolo 136 restano fermi i limiti del
diritto di cronaca a tutela dei diritti di cui all'articolo 2 e, in particolare, quello dell'essenzialità dell'informazione
riguardo a fatti di interesse pubblico. Possono essere trattati i dati personali relativi a circostanze o fatti resi noti
direttamente dagli interessati o attraverso loro comportamenti in pubblico.
Art. 138. Segreto professionale
1. In caso di richiesta dell'interessato di conoscere l'origine dei dati personali ai sensi dell'articolo 7, comma 2,
lettera a) restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista,
limitatamente alla fonte della notizia.
Capo II - Codice di deontologia
Art. 139. Codice di deontologia relativo ad attività giornalistiche
1. Il Garante promuove ai sensi dell'articolo 12 l'adozione da parte del Consiglio nazionale dell'ordine dei giornalisti
di un codice di deontologia relativo al trattamento dei dati di cui all'articolo 136, che prevede misure ed
accorgimenti a garanzia degli interessati rapportate alla natura dei dati, in particolare per quanto riguarda quelli
idonei a rivelare lo stato di salute e la vita sessuale. Il codice può anche prevedere forme semplificate per le
informative di cui all'articolo 13.
2. Nella fase di formazione del codice, ovvero successivamente, il Garante, in cooperazione con il Consiglio,
prescrive eventuali misure e accorgimenti a garanzia degli interessati, che il Consiglio è tenuto a recepire.
3. Il codice o le modificazioni od integrazioni al codice di deontologia che non sono adottati dal Consiglio entro sei
mesi dalla proposta del Garante sono adottati in via sostitutiva dal Garante e sono efficaci sino a quando diviene
efficace una diversa disciplina secondo la procedura di cooperazione.
4. Il codice e le disposizioni di modificazione ed integrazione divengono efficaci quindici giorni dopo la loro
pubblicazione nella Gazzetta Ufficiale ai sensi dell'articolo 12.
5. In caso di violazione delle prescrizioni contenute nel codice di deontologia, il Garante può vietare il trattamento
ai sensi dell'articolo 143, comma 1, lettera c).
Titolo XIII - Marketing diretto
Capo I - Profili generali
Art. 140. Codice di deontologia e di buona condotta
1. Il Garante promuove, ai sensi dell'articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta
per il trattamento dei dati personali effettuato a fini di invio di materiale pubblicitario o di vendita diretta, ovvero
per il compimento di ricerche di mercato o di comunicazione commerciale, prevedendo anche, per i casi in cui il
trattamento non presuppone il consenso dell'interessato, forme semplificate per manifestare e rendere meglio
conoscibile l'eventuale dichiarazione di non voler ricevere determinate comunicazioni.
Parte III - Tutela dell'interessato e sanzioni
Titolo I - Tutela amministrativa e giurisdizionale
Capo I - Tutela dinnanzi al Garante
Sezione I - Principi generali
Art. 141. Forme di tutela
1. L'interessato può rivolgersi al Garante:
a) mediante reclamo circostanziato nei modi previsti dall'articolo 142, per rappresentare una violazione
della disciplina rilevante in materia di trattamento di dati personali;
b) mediante segnalazione, se non è possibile presentare un reclamo circostanziato ai sensi della lettera a),
al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima;
c) mediante ricorso, se intende far valere gli specifici diritti di cui all'articolo 7 secondo le modalità e per
conseguire gli effetti previsti nella sezione III del presente capo.
Sezione II - Tutela amministrativa
Art. 142. Proposizione dei reclami
1. Il reclamo contiene un'indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda,
delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare, del
responsabile, ove conosciuto, e dell'istante.
2. Il reclamo è sottoscritto dagli interessati, o da associazioni che li rappresentano anche ai sensi dell'articolo 9,
comma 2, ed è presentato al Garante senza particolari formalità. Il reclamo reca in allegato la documentazione utile
ai fini della sua valutazione e l'eventuale procura, e indica un recapito per l'invio di comunicazioni anche tramite
posta elettronica, telefax o telefono.
3. Il Garante può predisporre un modello per il reclamo da pubblicare nel Bollettino e di cui favorisce la disponibilità
con strumenti elettronici.
Art. 143. Procedimento per i reclami
1. Esaurita l'istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per
adottare un provvedimento, il Garante, anche prima della definizione del procedimento:
a) prima di prescrivere le misure di cui alla lettera b), ovvero il divieto o il blocco ai sensi della lettera c),
può invitare il titolare, anche in contraddittorio con l'interessato, ad effettuare il blocco spontaneamente;
b) prescrive al titolare le misure opportune o necessarie per rendere il trattamento conforme alle
disposizioni vigenti;
c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per
effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in
considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso
può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
d) può vietare in tutto o in parte il trattamento di dati relativi a singoli soggetti o a categorie di soggetti
che si pone in contrasto con rilevanti interessi della collettività.
2. I provvedimenti di cui al comma 1 sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana se i relativi
destinatari non sono facilmente identificabili per il numero o per la complessità degli accertamenti.
Art. 144. Segnalazioni
1. I provvedimenti di cui all'articolo 143 possono essere adottati anche a seguito delle segnalazioni di cui all'articolo
141, comma 1, lettera b), se è avviata un'istruttoria preliminare e anche prima della definizione del procedimento.
Sezione III - Tutela alternativa a quella giurisdizionale
Art. 145. Ricorsi
1. I diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante.
2. Il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita
l'autorità giudiziaria.
3. La presentazione del ricorso al Garante rende improponibile un'ulteriore domanda dinanzi all'autorità giudiziaria
tra le stesse parti e per il medesimo oggetto.
Art. 146. Interpello preventivo
1. Salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso al
Garante può essere proposto solo dopo che è stata avanzata richiesta sul medesimo oggetto al titolare o al
responsabile ai sensi dell'articolo 8, comma 1, e sono decorsi i termini previsti dal presente articolo, ovvero è stato
opposto alla richiesta un diniego anche parziale.
2. Il riscontro alla richiesta da parte del titolare o del responsabile è fornito entro quindici giorni dal suo
ricevimento.
3. Entro il termine di cui al comma 2, se le operazioni necessarie per un integrale riscontro alla richiesta sono di
particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno comunicazione
all'interessato. In tal caso, il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta
medesima.
Art. 147. Presentazione del ricorso
1. Il ricorso è proposto nei confronti del titolare e indica:
a) gli estremi identificativi del ricorrente, dell'eventuale procuratore speciale, del titolare e, ove
conosciuto, del responsabile eventualmente designato per il riscontro all'interessato in caso di esercizio
dei diritti di cui all'articolo 7;
b) la data della richiesta presentata al titolare o al responsabile ai sensi dell'articolo 8, comma 1, oppure
del pregiudizio imminente ed irreparabile che permette di prescindere dalla richiesta medesima;
c) gli elementi posti a fondamento della domanda;
d) il provvedimento richiesto al Garante;
e) il domicilio eletto ai fini del procedimento.
2. Il ricorso è sottoscritto dal ricorrente o dal procuratore speciale e reca in allegato:
a) la copia della richiesta rivolta al titolare o al responsabile ai sensi dell'articolo 8, comma 1;
b) l'eventuale procura;
c) la prova del versamento dei diritti di segreteria.
3. Al ricorso è unita, altresì, la documentazione utile ai fini della sua valutazione e l'indicazione di un recapito per
l'invio di comunicazioni al ricorrente o al procuratore speciale mediante posta elettronica, telefax o telefono.
4. Il ricorso è rivolto al Garante e la relativa sottoscrizione è autenticata. L'autenticazione non è richiesta se la
sottoscrizione è apposta presso l'Ufficio del Garante o da un procuratore speciale iscritto all'albo degli avvocati al
quale la procura è conferita ai sensi dell'articolo 83 del codice di procedura civile, ovvero con firma digitale in
conformità alla normativa vigente.
5. Il ricorso è validamente proposto solo se è trasmesso con plico raccomandato, oppure per via telematica
osservando le modalità relative alla sottoscrizione con firma digitale e alla conferma del ricevimento prescritte ai
sensi dell'articolo 38, comma 2, ovvero presentato direttamente presso l'Ufficio del Garante.
Art. 148. Inammissibilità del ricorso
1. Il ricorso è inammissibile:
a) se proviene da un soggetto non legittimato;
b) in caso di inosservanza delle disposizioni di cui agli articoli 145 e 146;
c) se difetta di taluno degli elementi indicati nell'articolo 147, commi 1 e 2, salvo che sia regolarizzato dal
ricorrente o dal procuratore speciale anche su invito dell'Ufficio del Garante ai sensi del comma 2, entro
sette giorni dalla data della sua presentazione o della ricezione dell'invito. In tale caso, il ricorso si
considera presentato al momento in cui il ricorso regolarizzato perviene all'Ufficio.
2. Il Garante determina i casi in cui è possibile la regolarizzazione del ricorso.
Art. 149. Procedimento relativo al ricorso
1. Fuori dei casi in cui è dichiarato inammissibile o manifestamente infondato, il ricorso è comunicato al titolare
entro tre giorni a cura dell'Ufficio del Garante, con invito ad esercitare entro dieci giorni dal suo ricevimento la
facoltà di comunicare al ricorrente e all'Ufficio la propria eventuale adesione spontanea. L'invito è comunicato al
titolare per il tramite del responsabile eventualmente designato per il riscontro all'interessato in caso di esercizio
dei diritti di cui all'articolo 7, ove indicato nel ricorso.
2. In caso di adesione spontanea è dichiarato non luogo a provvedere. Se il ricorrente lo richiede, è determinato in
misura forfettaria l'ammontare delle spese e dei diritti inerenti al ricorso, posti a carico della controparte o
compensati per giusti motivi anche parzialmente.
3. Nel procedimento dinanzi al Garante il titolare, il responsabile di cui al comma 1 e l'interessato hanno diritto di
essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facoltà di presentare memorie o
documenti. A tal fine l'invito di cui al comma 1 è trasmesso anche al ricorrente e reca l'indicazione del termine
entro il quale il titolare, il medesimo responsabile e l'interessato possono presentare memorie e documenti, nonché
della data in cui tali soggetti possono essere sentiti in contraddittorio anche mediante idonea tecnica audiovisiva.
4. Nel procedimento il ricorrente può precisare la domanda nei limiti di quanto chiesto con il ricorso o a seguito di
eccezioni formulate dal titolare.
5. Il Garante può disporre, anche d'ufficio, l'espletamento di una o più perizie. Il provvedimento che le dispone
precisa il contenuto dell'incarico e il termine per la sua esecuzione, ed è comunicato alle parti le quali possono
presenziare alle operazioni personalmente o tramite procuratori o consulenti designati. Il provvedimento dispone
inoltre in ordine all'anticipazione delle spese della perizia.
6. Nel procedimento, il titolare e il responsabile di cui al comma 1 possono essere assistiti da un procuratore o da
altra persona di fiducia.
7. Se gli accertamenti risultano particolarmente complessi o vi è l'assenso delle parti il termine di sessanta giorni di
cui all'articolo 150, comma 2, può essere prorogato per un periodo non superiore ad ulteriori quaranta giorni.
8. Il decorso dei termini previsti dall'articolo 150, comma 2 e dall'articolo 151 è sospeso di diritto dal 1 agosto al 15
settembre di ciascun anno e riprende a decorrere dalla fine del periodo di sospensione. Se il decorso ha inizio
durante tale periodo, l'inizio stesso è differito alla fine del periodo medesimo. La sospensione non opera nei casi in
cui sussiste il pregiudizio di cui all'articolo 146, comma 1, e non preclude l'adozione dei provvedimenti di cui
all'articolo 150, comma 1.
Art. 150. Provvedimenti a seguito del ricorso
1. Se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in parte di
taluno dei dati, ovvero l'immediata sospensione di una o più operazioni del trattamento. Il provvedimento può
essere adottato anche prima della comunicazione del ricorso ai sensi dell'articolo 149, comma 1, e cessa di avere
ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile
unitamente a tale decisione.
2. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione
motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti
dell'interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta
giorni dalla data di presentazione, equivale a rigetto.
3. Se vi è stata previa richiesta di taluna delle parti, il provvedimento che definisce il procedimento determina in
misura forfettaria l'ammontare delle spese e dei diritti inerenti al ricorso, posti a carico, anche in parte, del
soccombente o compensati anche parzialmente per giusti motivi.
4. Il provvedimento espresso, anche provvisorio, adottato dal Garante è comunicato alle parti entro dieci giorni
presso il domicilio eletto o risultante dagli atti. Il provvedimento può essere comunicato alle parti anche mediante
posta elettronica o telefax.
5. Se sorgono difficoltà o contestazioni riguardo all'esecuzione del provvedimento di cui ai commi 1 e 2, il Garante,
sentite le parti ove richiesto, dispone le modalità di attuazione avvalendosi, se necessario, del personale dell'Ufficio
o della collaborazione di altri organi dello Stato.
6. In caso di mancata opposizione avverso il provvedimento che determina l'ammontare delle spese e dei diritti, o
di suo rigetto, il provvedimento medesimo costituisce, per questa parte, titolo esecutivo ai sensi degli articoli 474 e
475 del codice di procedura civile.
Art. 151. Opposizione
1. Avverso il provvedimento espresso o il rigetto tacito di cui all'articolo 150, comma 2, il titolare o l'interessato
possono proporre opposizione con ricorso ai sensi dell'articolo 152. L'opposizione non sospende l'esecuzione del
provvedimento.
2. Il tribunale provvede nei modi di cui all'articolo 152.
Capo II - Tutela giurisdizionale
Art. 152. Autorità giudiziaria ordinaria
1. Tutte le controversie che riguardano, comunque, l'applicazione delle disposizioni del presente codice, comprese
quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata
adozione, sono attribuite all'autorità giudiziaria ordinaria.
2. Per tutte le controversie di cui al comma 1 l'azione si propone con ricorso depositato nella cancelleria del
tribunale del luogo ove risiede il titolare del trattamento.
3. Il tribunale decide in ogni caso in composizione monocratica.
4. Se è presentato avverso un provvedimento del Garante anche ai sensi dell'articolo 143, il ricorso è proposto
entro il termine di trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito. Se il
ricorso è proposto oltre tale termine il giudice lo dichiara inammissibile con ordinanza ricorribile per cassazione.
5. La proposizione del ricorso non sospende l'esecuzione del provvedimento del Garante. Se ricorrono gravi motivi il
giudice, sentite le parti, può disporre diversamente in tutto o in parte con ordinanza impugnabile unitamente alla
decisione che definisce il grado di giudizio.
6. Quando sussiste pericolo imminente di un danno grave ed irreparabile il giudice può emanare i provvedimenti
necessari con decreto motivato, fissando, con il medesimo provvedimento, l'udienza di comparizione delle parti
entro un termine non superiore a quindici giorni. In tale udienza, con ordinanza, il giudice conferma, modifica o
revoca i provvedimenti emanati con decreto.
7. Il giudice fissa l'udienza di comparizione delle parti con decreto con il quale assegna al ricorrente il termine
perentorio entro cui notificarlo alle altre parti e al Garante. Tra il giorno della notificazione e l'udienza di
comparizione intercorrono non meno di trenta giorni.
8. Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la
cancellazione della causa dal ruolo e dichiara l'estinzione del processo, ponendo a carico del ricorrente le spese di
giudizio.
9. Nel corso del giudizio il giudice dispone, anche d'ufficio, omettendo ogni formalità non necessaria al
contraddittorio, i mezzi di prova che ritiene necessari e può disporre la citazione di testimoni anche senza la
formulazione di capitoli.
10. Terminata l'istruttoria, il giudice invita le parti a precisare le conclusioni ed a procedere, nella stessa udienza,
alla discussione orale della causa, pronunciando subito dopo la sentenza mediante lettura del dispositivo. Le
motivazioni della sentenza sono depositate in cancelleria entro i successivi trenta giorni. Il giudice può anche
redigere e leggere, unitamente al dispositivo, la motivazione della sentenza, che è subito dopo depositata in
cancelleria.
11. Se necessario, il giudice può concedere alle parti un termine non superiore a dieci giorni per il deposito di note
difensive e rinviare la causa all'udienza immediatamente successiva alla scadenza del termine per la discussione e
la pronuncia della sentenza.
12. Con la sentenza il giudice, anche in deroga al divieto di cui all'articolo 4 della legge 20 marzo 1865, n. 2248,
allegato E), quando è necessario anche in relazione all'eventuale atto del soggetto pubblico titolare o responsabile,
accoglie o rigetta la domanda, in tutto o in parte, prescrive le misure necessarie, dispone sul risarcimento del
danno, ove richiesto, e pone a carico della parte soccombente le spese del procedimento.
13. La sentenza non è appellabile, ma è ammesso il ricorso per cassazione.
14. Le disposizioni di cui al presente articolo si applicano anche nei casi previsti dall'articolo 10, comma 5, della
legge 1 aprile 1981, n. 121, e successive modificazioni.
Titolo II - L'Autorità
Capo I - Il Garante per la protezione dei dati personali
Art. 153. Il Garante
1. Il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione.
2. Il Garante è organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal
Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano indipendenza e che
sono esperti di riconosciuta competenza delle materie del diritto o dell'informatica, garantendo la presenza di
entrambe le qualificazioni.
3. I componenti eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. Eleggono altresì un
vicepresidente, che assume le funzioni del presidente in caso di sua assenza o impedimento.
4. (2) Il presidente e i componenti durano in carica quattro anni e non possono essere confermati per più di una
volta; per tutta la durata dell'incarico il presidente e i componenti non possono esercitare, a pena di decadenza,
alcuna attività professionale o di consulenza, né essere amministratori o dipendenti di enti pubblici o privati, né
ricoprire cariche elettive.
5. All'atto dell'accettazione della nomina il presidente e i componenti sono collocati fuori ruolo se dipendenti di
pubbliche amministrazioni o magistrati in attività di servizio; se professori universitari di ruolo, sono collocati in
aspettativa senza assegni ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382,
e successive modificazioni. Il personale collocato fuori ruolo o in aspettativa non può essere sostituito.
6. Al presidente compete una indennità di funzione non eccedente, nel massimo, la retribuzione spettante al primo
presidente della Corte di cassazione. Ai componenti compete un'indennità non eccedente nel massimo, i due terzi di
quella spettante al presidente. Le predette indennità di funzione sono determinate dall'articolo 6 del decreto del
Presidente della Repubblica 31 marzo 1998, n. 501, in misura tale da poter essere corrisposte a carico degli ordinari
stanziamenti.
7. Alle dipendenze del Garante è posto l'Ufficio di cui all'articolo 156.
(2) L'art. 47-quater decreto legge n. 248 del 31 dicembre 2007, convertito con modificazioni dalla legge n. 31 del 27 febbraio 2008, ha
equiparato la durata in carica del presidente e dei componenti del Garante a quella di sette anni, prevista per altre autorità indipendenti, con
decorrenza dalla data del decreto di nomina. Gli incarichi non sono rinnovabili.
Art. 154. Compiti
1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformità al
presente codice, ha il compito di:
a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla
notificazione, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico;
b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle
associazioni che li rappresentano;
c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere
il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143;
d) vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il
blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al
trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi dell'articolo 12 e dell'articolo 139;
f) segnalare al Parlamento e al Governo l'opportunità di interventi normativi richiesti dalla necessità di
tutelare i diritti di cui all'articolo 2 anche a seguito dell'evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali
e delle relative finalità, nonché delle misure di sicurezza dei dati;
i) denunciare i fatti configurabili come reati perseguibili d'ufficio, dei quali viene a conoscenza
nell'esercizio o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all'articolo 37;
m) predisporre annualmente una relazione sull'attività svolta e sullo stato di attuazione del presente
codice, che è trasmessa al Parlamento e al Governo entro il 30 aprile dell'anno successivo a quello cui si
riferisce.
2. Il Garante svolge altresì, ai sensi del comma 1, la funzione di controllo o assistenza in materia di trattamento dei
dati personali prevista da leggi di ratifica di accordi o convenzioni internazionali o da regolamenti comunitari e, in
particolare:
a) dalla legge 30 settembre 1993, n. 388, e successive modificazioni, di ratifica ed esecuzione dei
protocolli e degli accordi di adesione all'accordo di Schengen e alla relativa convenzione di applicazione;
b) dalla legge 23 marzo 1998, n. 93, e successive modificazioni, di ratifica ed esecuzione della
convenzione istitutiva dell'Ufficio europeo di polizia (Europol);
c) dal regolamento (Ce) n. 515/97 del Consiglio, del 13 marzo 1997, e dalla legge 30 luglio 1998, n. 291,
e successive modificazioni, di ratifica ed esecuzione della convenzione sull'uso dell'informatica nel settore
doganale;
d) dal regolamento (Ce) n. 2725/2000 del Consiglio, dell'11 dicembre 2000, che istituisce l'"Eurodac" per
il confronto delle impronte digitali e per l'efficace applicazione della convenzione di Dublino;
e) nel capitolo IV della convenzione n. 108 sulla protezione delle persone rispetto al trattamento
automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva
con legge 21 febbraio 1989, n. 98, quale autorità designata ai fini della cooperazione tra Stati ai sensi
dell'articolo 13 della convenzione medesima.
3. Il Garante coopera con altre autorità amministrative indipendenti nello svolgimento dei rispettivi compiti. A tale
fine, il Garante può anche invitare rappresentanti di un'altra autorità a partecipare alle proprie riunioni, o essere
invitato alle riunioni di altra autorità, prendendo parte alla discussione di argomenti di comune interesse; può
richiedere, altresì, la collaborazione di personale specializzato addetto ad altra autorità.
4. Il Presidente del Consiglio dei ministri e ciascun ministro consultano il Garante all'atto della predisposizione delle
norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dal presente codice.
5. Fatti salvi i termini più brevi previsti per legge, il parere del Garante è reso nei casi previsti nel termine di
quarantacinque giorni dal ricevimento della richiesta. Decorso il termine, l'amministrazione può procedere
indipendentemente dall'acquisizione del parere. Quando, per esigenze istruttorie, non può essere rispettato il
termine di cui al presente comma, tale termine può essere interrotto per una sola volta e il parere deve essere reso
definitivamente entro venti giorni dal ricevimento degli elementi istruttori da parte delle amministrazioni
interessate.
6. Copia dei provvedimenti emessi dall'autorità giudiziaria in relazione a quanto previsto dal presente codice o in
materia di criminalità informatica è trasmessa, a cura della cancelleria, al Garante.
Capo II - L'Ufficio del Garante
Art. 155. Principi applicabili
1. All'Ufficio del Garante, al fine di garantire la responsabilità e l'autonomia ai sensi della legge 7 agosto 1990,
n. 241, e successive modificazioni, e del decreto legislativo 30 marzo 2001, n. 165, e successive modificazioni, si
applicano i principi riguardanti l'individuazione e le funzioni del responsabile del procedimento, nonché quelli relativi
alla distinzione fra le funzioni di indirizzo e di controllo, attribuite agli organi di vertice, e le funzioni di gestione
attribuite ai dirigenti. Si applicano altresì le disposizioni del medesimo decreto legislativo n. 165 del 2001
espressamente richiamate dal presente codice.
Art. 156. Ruolo organico e personale
1. All'Ufficio del Garante è preposto un segretario generale scelto anche tra magistrati ordinari o amministrativi.
2. Il ruolo organico del personale dipendente è stabilito nel limite di cento unità.
3. Con propri regolamenti pubblicati nella Gazzetta Ufficiale della Repubblica italiana, il Garante definisce:
a) l'organizzazione e il funzionamento dell'Ufficio anche ai fini dello svolgimento dei compiti di cui
all'articolo 154;
b) l'ordinamento delle carriere e le modalità di reclutamento del personale secondo le procedure previste
dall'articolo 35 del decreto legislativo n. 165 del 2001;
c) la ripartizione dell'organico tra le diverse aree e qualifiche;
d) il trattamento giuridico ed economico del personale, secondo i criteri previsti dalla legge 31 luglio 1997,
n. 249, e successive modificazioni e, per gli incarichi dirigenziali, dagli articoli 19, comma 6, e 23-bis del
decreto legislativo 30 marzo 2001, n. 165, tenuto conto delle specifiche esigenze funzionali e
organizzative. Nelle more della più generale razionalizzazione del trattamento economico delle autorità
amministrative indipendenti, al personale è attribuito l'ottanta per cento del trattamento economico del
personale dell'Autorità per le garanzie nelle comunicazioni;
e) la gestione amministrativa e la contabilità, anche in deroga alle norme sulla contabilità generale dello
Stato, l'utilizzo dell'avanzo di amministrazione nel quale sono iscritte le somme già versate nella
contabilità speciale, nonché l'individuazione dei casi di riscossione e utilizzazione dei diritti di segreteria o
di corrispettivi per servizi resi in base a disposizioni di legge secondo le modalità di cui all'articolo 6,
comma 2, della legge 31 luglio 1997, n. 249.
4. L'Ufficio può avvalersi, per motivate esigenze, di dipendenti dello Stato o di altre amministrazioni pubbliche o di
enti pubblici collocati in posizione di fuori ruolo o equiparati nelle forme previste dai rispettivi ordinamenti, ovvero
in aspettativa ai sensi dell'articolo 13 del decreto del Presidente della Repubblica 11 luglio 1980, n. 382, e
successive modificazioni, in numero non superiore, complessivamente, a venti unità e per non oltre il venti per
cento delle qualifiche dirigenziali, lasciando non coperto un corrispondente numero di posti di ruolo. Al personale di
cui al presente comma è corrisposta un'indennità pari all'eventuale differenza tra il trattamento erogato
dall'amministrazione o dall'ente di provenienza e quello spettante al personale di ruolo, sulla base di apposita
tabella di corrispondenza adottata dal Garante, e comunque non inferiore al cinquanta per cento della retribuzione
in godimento, con esclusione dell'indennità integrativa speciale.
5. In aggiunta al personale di ruolo, l'Ufficio può assumere direttamente dipendenti con contratto a tempo
determinato, in numero non superiore a venti unità ivi compresi i consulenti assunti con contratto a tempo
determinato ai sensi del comma 7.
6. Si applicano le disposizioni di cui all'articolo 30 del decreto legislativo n. 165 del 2001.
7. Nei casi in cui la natura tecnica o la delicatezza dei problemi lo richiedono, il Garante può avvalersi dell'opera di
consulenti, i quali sono remunerati in base alle vigenti tariffe professionali ovvero sono assunti con contratti a
tempo determinato, di durata non superiore a due anni, che possono essere rinnovati per non più di due volte.
8. Il personale addetto all'Ufficio del Garante ed i consulenti sono tenuti al segreto su ciò di cui sono venuti a
conoscenza, nell'esercizio delle proprie funzioni, in ordine a notizie che devono rimanere segrete.
9. Il personale dell'Ufficio del Garante addetto agli accertamenti di cui all'articolo 158 riveste, in numero non
superiore a cinque unità, nei limiti del servizio cui è destinato e secondo le rispettive attribuzioni, la qualifica di
ufficiale o agente di polizia giudiziaria.
10. Le spese di funzionamento del Garante sono poste a carico di un fondo stanziato a tale scopo nel bilancio dello
Stato e iscritto in apposito capitolo dello stato di previsione del Ministero dell'economia e delle finanze. Il rendiconto
della gestione finanziaria è soggetto al controllo della Corte dei conti.
Capo III - Accertamenti e controlli
Art. 157. Richiesta di informazioni e di esibizione di documenti
1. Per l'espletamento dei propri compiti il Garante può richiedere al titolare, al responsabile, all'interessato o anche
a terzi di fornire informazioni e di esibire documenti.
Art. 158. Accertamenti
1. Il Garante può disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il
trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in
materia di trattamento dei dati personali.
2. I controlli di cui al comma 1 sono eseguiti da personale dell'Ufficio. Il Garante si avvale anche, ove necessario,
della collaborazione di altri organi dello Stato.
3. Gli accertamenti di cui al comma 1, se svolti in un'abitazione o in un altro luogo di privata dimora o nelle relative
appartenenze, sono effettuati con l'assenso informato del titolare o del responsabile, oppure previa autorizzazione
del presidente del tribunale competente per territorio in relazione al luogo dell'accertamento, il quale provvede con
decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante quando è
documentata l'indifferibilità dell'accertamento.
Art. 159. Modalità
1. Il personale operante, munito di documento di riconoscimento, può essere assistito ove necessario da consulenti
tenuti al segreto ai sensi dell'articolo 156, comma 8. Nel procedere a rilievi e ad operazioni tecniche può altresì
estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica.
Degli accertamenti è redatto sommario verbale nel quale sono annotate anche le eventuali dichiarazioni dei
presenti.
2. Ai soggetti presso i quali sono eseguiti gli accertamenti è consegnata copia dell'autorizzazione del presidente del
tribunale, ove rilasciata. I medesimi soggetti sono tenuti a farli eseguire e a prestare la collaborazione a tal fine
necessaria. In caso di rifiuto gli accertamenti sono comunque eseguiti e le spese in tal caso occorrenti sono poste a
carico del titolare con il provvedimento che definisce il procedimento, che per questa parte costituisce titolo
esecutivo ai sensi degli articoli 474 e 475 del codice di procedura civile.
3. Gli accertamenti, se effettuati presso il titolare o il responsabile, sono eseguiti dandone informazione a
quest'ultimo o, se questo è assente o non è designato, agli incaricati. Agli accertamenti possono assistere persone
indicate dal titolare o dal responsabile.
4. Se non è disposto diversamente nel decreto di autorizzazione del presidente del tribunale, l'accertamento non
può essere iniziato prima delle ore sette e dopo le ore venti, e può essere eseguito anche con preavviso quando ciò
può facilitarne l'esecuzione.
5. Le informative, le richieste e i provvedimenti di cui al presente articolo e agli articoli 157 e 158 possono essere
trasmessi anche mediante posta elettronica e telefax.
6. Quando emergono indizi di reato si osserva la disposizione di cui all'articolo 220 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n.
271.
Art. 160. Particolari accertamenti
1. Per i trattamenti di dati personali indicati nei titoli I, II e III della Parte II gli accertamenti sono effettuati per il
tramite di un componente designato dal Garante.
2. Se il trattamento non risulta conforme alle disposizioni di legge o di regolamento, il Garante indica al titolare o al
responsabile le necessarie modificazioni ed integrazioni e ne verifica l'attuazione. Se l'accertamento è stato
richiesto dall'interessato, a quest'ultimo è fornito in ogni caso un riscontro circa il relativo esito, se ciò non
pregiudica azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione di reati
o ricorrono motivi di difesa o di sicurezza dello Stato.
3. Gli accertamenti non sono delegabili. Quando risulta necessario in ragione della specificità della verifica, il
componente designato può farsi assistere da personale specializzato tenuto al segreto ai sensi dell'articolo 156,
comma 8. Gli atti e i documenti acquisiti sono custoditi secondo modalità tali da assicurarne la segretezza e sono
conoscibili dal presidente e dai componenti del Garante e, se necessario per lo svolgimento delle funzioni
dell'organo, da un numero delimitato di addetti all'Ufficio individuati dal Garante sulla base di criteri definiti dal
regolamento di cui all'articolo 156, comma 3, lettera a).
4. Per gli accertamenti relativi agli organismi di informazione e di sicurezza e ai dati coperti da segreto di Stato il
componente designato prende visione degli atti e dei documenti rilevanti e riferisce oralmente nelle riunioni del
Garante.
5. Nell'effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari, il Garante adotta idonee
modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell'organo
procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell'organo
procedente, al momento in cui cessa il segreto.
6. La validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul
trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle
pertinenti disposizioni processuali nella materia civile e penale.
Titolo III - Sanzioni
Capo I - Violazioni amministrative
Art. 161. Omessa o inidonea informativa all'interessato (1)
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro.
(1) Così modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207
del 30 dicembre 2008
Art. 162. Altre fattispecie
1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in
materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di
una somma da diecimila euro a sessantamila euro (1).
2. La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del
pagamento di una somma da mille euro a seimila euro (1).
2-bis. (2) In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle
disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del
pagamento di una somma da diecimila euro (3) a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il
pagamento in misura ridotta.
2-ter. (2) In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui,
rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni
caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
2-quater. (4) La violazione del diritto di opposizione nelle forme previste dall'articolo 130, comma 3-bis, e dal
relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo.
(1) Così modificato
(2) Comma così aggiunto dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n.
207 del 30 dicembre 2008
(3) Comma così modificato dal n. 1) della lettera c) del comma 1 dell'art. 20-bis, D.L. 25 settembre 2009, n. 135,
nel testo integrato dalla relativa legge di conversione 20 novembre 2009, n. 166.
(4) Comma aggiunto dal n. 2) della lettera c) del comma 1 dell'art. 20-bis, D.L. 25 settembre 2009, n. 135, nel
testo integrato dalla relativa legge di conversione 20 novembre 2009, n. 166.
Al fine di delineare con completezza il quadro normativo vigente in materia, si riportano i commi 2, 3 e 4 dell'art. 20-bis della legge 20
novembre 2009, n. 166 di conversione, con modificazioni, del D.L.25 settembre 2009, n. 135.
2. Il registro previsto dall' articolo 130, comma 3-bis, del codice d cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal
comma 1, lettera b), del presente articolo, è istituito entro sei mesi dalla data di entrata in vigore della legge di conversione del
presente decreto. Fino al suddetto termine, restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali
ai sensi dell' articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione
dell' articolo 129 del medesimo codice.
3. All' articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio
2009, n. 14, le parole: "sino al 31 dicembre 2009" sono sostituite dalle seguenti: "sino al termine di sei mesi successivi alla data di
entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135".
4. All' articolo 58 del codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206, il comma 1 è sostituito dal
seguente:
"1. L'impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza
l'intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dal l'
articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n.
196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico".
Art. 162-bis. Sanzioni in materia di conservazione dei dati di traffico (1)
1. Salvo che il fatto costituisca reato e salvo quanto previsto dall'articolo 5, comma 2, del decreto legislativo di
recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di
violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da
10.000 euro a 50.000 euro. (2)
(1) Articolo aggiunto dall'art. 5, comma 1, del d.lg. 30 maggio 2008, n. 109, di attuazione della direttiva 2006/24/Ce riguardante la
conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti
pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce.
Per completezza, si riporta il comma 2 del predetto articolo 5, richiamato dall'articolo 162-bis del Codice:
"2. Salvo che il fatto costituisca reato, l'omessa o l'incompleta conservazione dei dati ai sensi dell'articolo 132, commi 1 e 1-bis,
del Codice, è punita con la sanzione amministrativa pecuniaria da euro 10.000 ad euro 50.000 che può essere aumentata fino al
triplo in ragione delle condizioni economiche dei responsabili della violazione. Nel caso di assegnazione di indirizzo IP che non
consente l'identificazione univoca dell'utente o abbonato si applica la sanzione amministrativa pecuniaria da 5.000 euro a 50.000
euro, che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Le
violazioni sono contestate e le sanzioni sono applicate dal Ministero dello sviluppo economico.".
(2) Così modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre 2008
Art. 163. Omessa o incompleta notificazione (1)
1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38,
ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da
ventimila euro a centoventimila euro.
(1) Così modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207
del 30 dicembre 2008
Art. 164. Omessa informazione o esibizione al Garante (1)
1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150,
comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a
sessantamila euro.
(1) Così modificato dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207
del 30 dicembre 2008
Art. 164-bis. Casi di minore gravità e ipotesi aggravate
(1)
1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 è di minore gravità, avuto altresì riguardo alla
natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono
applicati in misura pari a due quinti.
2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste
dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di
particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da
cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta.
3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più
interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di
cui al presente Capo sono applicati in misura pari al doppio.
4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare
inefficaci in ragione delle condizioni economiche del contravventore.
(1) Articolo così aggiunto dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n.
207 del 30 dicembre 2008
Art. 165. Pubblicazione del provvedimento del Garante (1)
1. Nei casi di cui agli articoli del presente Capo può essere applicata la sanzione amministrativa accessoria della
pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento
che la applica. La pubblicazione ha luogo a cura e spese del contravventore.
(1) Così modificato legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207 del 30
dicembre 2008
Art. 166. Procedimento di applicazione
1. L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all'articolo 179,
comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e
successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al
fondo di cui all'articolo 156, comma 10, e sono utilizzati unicamente per l'esercizio dei compiti di cui agli articoli
154, comma 1, lettera h), e 158.
Capo II - Illeciti penali
Art. 167. Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad
altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23,
123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione
da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro
mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad
altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22,
commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante
1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti
in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o
circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione
da sei mesi a tre anni.
Art. 169. Misure di sicurezza (1)
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto
sino a due anni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è
impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento
e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del
massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il
reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22,
23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.
(1) Così modificato legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207 del 30
dicembre 2008
Art. 170. Inosservanza di provvedimenti del Garante
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma
2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.
Art. 171. Altre fattispecie
1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all'articolo
38 della legge 20 maggio 1970, n. 300.
Art. 172. Pene accessorie
1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.
Titolo IV - Disposizioni modificative, abrogative, transitorie e finali
Capo I - Disposizioni di modifica
Art. 173. Convenzione di applicazione dell'Accordo di Schengen
1. La legge 30 settembre 1993, n. 388, e successive modificazioni, di ratifica ed esecuzione dei protocolli e degli
accordi di adesione all'accordo di Schengen e alla relativa convenzione di applicazione, è così modificata:
a) il comma 2 dell'articolo 9 è sostituito dal seguente: "2. Le richieste di accesso, rettifica o cancellazione,
nonché di verifica, di cui, rispettivamente, agli articoli 109, 110 e 114, paragrafo 2, della Convenzione,
sono rivolte all'autorità di cui al comma 1.";
b) il comma 2 dell'articolo 10 è soppresso;
c) l'articolo 11 è sostituito dal seguente:
"11. 1. L'autorità di controllo di cui all'articolo 114 della Convenzione è il Garante per la protezione dei dati
personali. Nell'esercizio dei compiti ad esso demandati per legge, il Garante esercita il controllo sui
trattamenti di dati in applicazione della Convenzione ed esegue le verifiche previste nel medesimo articolo
114, anche su segnalazione o reclamo dell'interessato all'esito di un inidoneo riscontro alla richiesta rivolta
ai sensi dell'articolo 9, comma 2, quando non è possibile fornire al medesimo interessato una risposta
sulla base degli elementi forniti dall'autorità di cui all'articolo 9, comma 1.
2. Si applicano le disposizioni dell'articolo 10, comma 5, della legge 1 aprile 1981, n. 121, e successive
modificazioni.";
d) l'articolo 12 è abrogato.
Art. 174. Notifiche di atti e vendite giudiziarie
1. All'articolo 137 del codice di procedura civile, dopo il secondo comma, sono inseriti i seguenti:
"Se la notificazione non può essere eseguita in mani proprie del destinatario, tranne che nel caso previsto dal
secondo comma dell'articolo 143, l'ufficiale giudiziario consegna o deposita la copia dell'atto da notificare in busta
che provvede a sigillare e su cui trascrive il numero cronologico della notificazione, dandone atto nella relazione in
calce all'originale e alla copia dell'atto stesso. Sulla busta non sono apposti segni o indicazioni dai quali possa
desumersi il contenuto dell'atto. Le disposizioni di cui al terzo comma si applicano anche alle comunicazioni
effettuate con biglietto di cancelleria ai sensi degli articoli 133 e 136.".
2. Al primo comma dell'articolo 138 del codice di procedura civile, le parole da: "può sempre eseguire" a
"destinatario," sono sostituite dalle seguenti: "esegue la notificazione di regola mediante consegna della copia nelle
mani proprie del destinatario, presso la casa di abitazione oppure, se ciò non è possibile,".
3. Nel quarto comma dell'articolo 139 del codice di procedura civile, la parola: "l'originale" è sostituita dalle
seguenti: "una ricevuta".
4. Nell'articolo 140 del codice di procedura civile, dopo le parole: "affigge avviso del deposito" sono inserite le
seguenti: "in busta chiusa e sigillata".
5. All'articolo 142 del codice di procedura civile sono apportate le seguenti modificazioni:
a) il primo e il secondo comma sono sostituiti dal seguente:
"Salvo quanto disposto nel secondo comma, se il destinatario non ha residenza, dimora o domicilio nello
Stato e non vi ha eletto domicilio o costituito un procuratore a norma dell'articolo 77, l'atto è notificato
mediante spedizione al destinatario per mezzo della posta con raccomandata e mediante consegna di altra
copia al pubblico ministero che ne cura la trasmissione al Ministero degli affari esteri per la consegna alla
persona alla quale è diretta.";
b) nell'ultimo comma le parole: "ai commi precedenti" sono sostituite dalle seguenti: "al primo comma".
6. Nell'articolo 143, primo comma, del codice di procedura civile, sono soppresse le parole da: ", e mediante" fino
alla fine del periodo.
7. All'articolo 151, primo comma, del codice di procedura civile dopo le parole: "maggiore celerità" sono aggiunte le
seguenti: ", di riservatezza o di tutela della dignità".
8. All'articolo 250 del codice di procedura civile dopo il primo comma è aggiunto il seguente:
"L'intimazione di cui al primo comma, se non è eseguita in mani proprie del destinatario o mediante servizio
postale, è effettuata in busta chiusa e sigillata.".
9. All'articolo 490, terzo comma, del codice di procedura civile è aggiunto, in fine, il seguente periodo: "Nell'avviso
è omessa l'indicazione del debitore".
10. All'articolo 570, primo comma, del codice di procedura civile le parole: "del debitore," sono soppresse e le
parole da: "informazioni" fino alla fine sono sostituite dalle seguenti: "informazioni, anche relative alle generalità
del debitore, possono essere fornite dalla cancelleria del tribunale a chiunque vi abbia interesse".
11. All'articolo 14, quarto comma, della legge 24 novembre 1981, n. 689, e successive modificazioni, è aggiunto, in
fine, il seguente periodo: "Quando la notificazione non può essere eseguita in mani proprie del destinatario, si
osservano le modalità previste dall'articolo 137, terzo comma, del medesimo codice.".
12. Dopo l'articolo 15 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, è inserito il seguente:
"Articolo 15-bis. (Notificazioni di atti e documenti, comunicazioni ed avvisi) 1. Alla notificazione di atti e di
documenti da parte di organi delle pubbliche amministrazioni a soggetti diversi dagli interessati o da persone da
essi delegate, nonché a comunicazioni ed avvisi circa il relativo contenuto, si applicano le disposizioni contenute
nell'articolo 137, terzo comma, del codice di procedura civile. Nei biglietti e negli inviti di presentazione sono
indicate le informazioni strettamente necessarie a tale fine.".
13. All'articolo 148 del codice di procedura penale sono apportate le seguenti modificazioni:
a) il comma 3 è sostituito dal seguente: "3. L'atto è notificato per intero, salvo che la legge disponga
altrimenti, di regola mediante consegna di copia al destinatario oppure, se ciò non è possibile, alle persone
indicate nel presente titolo. Quando la notifica non può essere eseguita in mani proprie del destinatario,
l'ufficiale giudiziario o la polizia giudiziaria consegnano la copia dell'atto da notificare, fatta eccezione per il
caso di notificazione al difensore o al domiciliatario, dopo averla inserita in busta che provvedono a
sigillare trascrivendovi il numero cronologico della notificazione e dandone atto nella relazione in calce
all'originale e alla copia dell'atto.";
b) dopo il comma 5 è aggiunto il seguente: "5-bis. Le comunicazioni, gli avvisi ed ogni altro biglietto o
invito consegnati non in busta chiusa a persona diversa dal destinatario recano le indicazioni strettamente
necessarie.".
14. All'articolo 157, comma 6, del codice di procedura penale le parole: "è scritta all'esterno del plico stesso" sono
sostituite dalle seguenti: "è effettuata nei modi previsti dall'articolo 148, comma 3".
15. All'art. 80 delle disposizioni di attuazione del codice di procedura penale, approvate con decreto legislativo 28
luglio 1989, n. 271, il comma 1 è sostituito dal seguente:
"1. Se la copia del decreto di perquisizione locale è consegnata al portiere o a chi ne fa le veci, si applica la
disposizione di cui all'articolo 148, comma 3, del codice.".
16. Alla legge 20 novembre 1982, n. 890, sono apportate le seguenti modificazioni:
a) all'articolo 2, primo comma, è aggiunto, in fine, il seguente periodo: "Sulle buste non sono apposti
segni o indicazioni dai quali possa desumersi il contenuto dell'atto.";
b) all'articolo 8, secondo comma, secondo periodo, dopo le parole: "L'agente postale rilascia avviso" sono
inserite le seguenti: ", in busta chiusa, del deposito".
Art. 175. Forze di polizia
1. Il trattamento effettuato per il conferimento delle notizie ed informazioni acquisite nel corso di attività
amministrative ai sensi dell'articolo 21, comma 1, della legge 26 marzo 2001, n. 128, e per le connessioni di cui al
comma 3 del medesimo articolo è oggetto di comunicazione al Garante ai sensi dell'articolo 39, commi 2 e 3.
2. I dati personali trattati dalle forze di polizia, dagli organi di pubblica sicurezza e dagli altri soggetti di cui
all'articolo 53, comma 1, senza l'ausilio di strumenti elettronici anteriormente alla data di entrata in vigore del
presente codice, in sede di applicazione del presente codice possono essere ulteriormente trattati se ne è verificata
l'esattezza, completezza ed aggiornamento ai sensi dell'articolo 11.
3. L'articolo 10 della legge 1 aprile 1981, n. 121, e successive modificazioni, è sostituito dal seguente:
"Art. 10 (Controlli)
1. Il controllo sul Centro elaborazione dati è esercitato dal Garante per la protezione dei dati personali, nei
modi previsti dalla legge e dai regolamenti.
2. I dati e le informazioni conservati negli archivi del Centro possono essere utilizzati in procedimenti
giudiziari o amministrativi soltanto attraverso l'acquisizione delle fonti originarie indicate nel primo comma
dell'articolo 7, fermo restando quanto stabilito dall'articolo 240 del codice di procedura penale. Quando nel
corso di un procedimento giurisdizionale o amministrativo viene rilevata l'erroneità o l'incompletezza dei
dati e delle informazioni, o l'illegittimità del loro trattamento, l'autorità precedente ne dà notizia al
Garante per la protezione dei dati personali.
3. La persona alla quale si riferiscono i dati può chiedere all'ufficio di cui alla lettera a) del primo comma
dell'articolo 5 la conferma dell'esistenza di dati personali che lo riguardano, la loro comunicazione in forma
intellegibile e, se i dati risultano trattati in violazione di vigenti disposizioni di legge o di regolamento, la
loro cancellazione o trasformazione in forma anonima.
4. Esperiti i necessari accertamenti, l'ufficio comunica al richiedente, non oltre trenta giorni dalla richiesta,
le determinazioni adottate. L'ufficio può omettere di provvedere sulla richiesta se ciò può pregiudicare
azioni od operazioni a tutela dell'ordine e della sicurezza pubblica o di prevenzione e repressione della
criminalità, dandone informazione al Garante per la protezione dei dati personali.
5. Chiunque viene a conoscenza dell'esistenza di dati personali che lo riguardano, trattati anche in forma
non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del
luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica,
l'integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi.".
Art. 176. Soggetti pubblici
1. Nell'articolo 24, comma 3, della legge 7 agosto 1990, n. 241, dopo le parole: "mediante strumenti informatici"
sono inserite le seguenti: ", fuori dei casi di accesso a dati personali da parte della persona cui i dati si riferiscono,".
2. Nell'articolo 2 del decreto legislativo 30 marzo 2001, n. 165, in materia di ordinamento del lavoro alle
dipendenze delle amministrazioni pubbliche, dopo il comma 1 è inserito il seguente: "1-bis. I criteri di
organizzazione di cui al presente articolo sono attuati nel rispetto della disciplina in materia di trattamento dei dati
personali.".
3. L'articolo 4, comma 1, del decreto legislativo 12 febbraio1993, n. 39, e successive modificazioni, è sostituito dal
seguente: "1. È istituito il Centro nazionale per l'informatica nella pubblica amministrazione, che opera presso la
Presidenza del Consiglio dei ministri per l'attuazione delle politiche del Ministro per l'innovazione e le tecnologie,
con autonomia tecnica, funzionale, amministrativa, contabile e finanziaria e con indipendenza di giudizio.".
4. Al Centro nazionale per l'informatica nella pubblica amministrazione continuano ad applicarsi l'articolo 6 del
decreto legislativo 12 febbraio 1993, n. 39, nonché le vigenti modalità di finanziamento nell'ambito dello stato di
previsione del Ministero dell'economia e delle finanze.
5. L'articolo 5, comma 1, del decreto legislativo n. 39 del 1993, e successive modificazioni, è sostituito dal
seguente: "1. Il Centro nazionale propone al Presidente del Consiglio dei ministri l'adozione di regolamenti
concernenti la sua organizzazione, il suo funzionamento, l'amministrazione del personale, l'ordinamento delle
carriere, nonché la gestione delle spese nei limiti previsti dal presente decreto.".
6. La denominazione: "Autorità per l'informatica nella pubblica amministrazione" contenuta nella vigente normativa
è sostituita dalla seguente: "Centro nazionale per l'informatica nella pubblica amministrazione".
Art. 177. Disciplina anagrafica, dello stato civile e delle liste elettorali
1. Il comune può utilizzare gli elenchi di cui all'articolo 34, comma 1, del decreto del Presidente della Repubblica 30
maggio 1989, n. 223, per esclusivo uso di pubblica utilità anche in caso di applicazione della disciplina in materia di
comunicazione istituzionale.
2. Il comma 7 dell'articolo 28 della legge 4 maggio 1983, n. 184, e successive modificazioni, è sostituito dal
seguente: "7. L'accesso alle informazioni non è consentito nei confronti della madre che abbia dichiarato alla
nascita di non volere essere nominata ai sensi dell'articolo 30, comma 1, del decreto del Presidente della
Repubblica 3 novembre 2000, n. 396.".
3. Il rilascio degli estratti degli atti dello stato civile di cui all'articolo 107 del decreto del Presidente della Repubblica
3 novembre 2000, n. 396 è consentito solo ai soggetti cui l'atto si riferisce, oppure su motivata istanza
comprovante l'interesse personale e concreto del richiedente a fini di tutela di una situazione giuridicamente
rilevante, ovvero decorsi settanta anni dalla formazione dell'atto.
4. Nel primo comma dell'articolo 5 del decreto del Presidente della Repubblica 20 marzo 1967, n. 223, sono
soppresse le lettere d) ed e).
5. Nell'articolo 51 del decreto del Presidente della Repubblica 20 marzo 1967, n. 223, il quinto comma è sostituto
dal seguente: "Le liste elettorali possono essere rilasciate in copia per finalità di applicazione della disciplina in
materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socioassistenziale o per il perseguimento di un interesse collettivo o diffuso.".
Art. 178. Disposizioni in materia sanitaria
1. Nell'articolo 27, terzo e quinto comma, della legge 23 dicembre 1978, n. 833, in materia di libretto sanitario
personale, dopo le parole: "il Consiglio sanitario nazionale" e prima della virgola sono inserite le seguenti: "e il
Garante per la protezione dei dati personali".
2. All'articolo 5 della legge 5 giugno 1990, n. 135, in materia di AIDS e infezione da HIV, sono apportate le seguenti
modifiche:
a) il comma 1 è sostituito dal seguente: "1. L'operatore sanitario e ogni altro soggetto che viene a
conoscenza di un caso di AIDS, ovvero di un caso di infezione da HIV, anche non accompagnato da stato
morboso, è tenuto a prestare la necessaria assistenza e ad adottare ogni misura o accorgimento
occorrente per la tutela dei diritti e delle libertà fondamentali dell'interessato, nonché della relativa
dignità.";
b) nel comma 2, le parole: "decreto del Ministro della sanità" sono sostituite dalle seguenti: "decreto del
Ministro della salute, sentito il Garante per la protezione dei dati personali".
3. Nell'articolo 5, comma 3, del decreto legislativo 30 dicembre 1992, n. 539, e successive modificazioni, in materia
di medicinali per uso umano, è inserito, infine, il seguente periodo: "Decorso tale periodo il farmacista distrugge le
ricette con modalità atte ad escludere l'accesso di terzi ai dati in esse contenuti.".
4. All'articolo 2, comma 1, del decreto del Ministro della sanità in data 11 febbraio 1997, pubblicato sulla Gazzetta
Ufficiale n. 72 del 27 marzo 1997, in materia di importazione di medicinali registrati all'estero, sono soppresse le
lettere f) ed h).
5. Nel comma 1, primo periodo, dell'articolo 5-bis del decreto-legge 17 febbraio 1998, n. 23, convertito, con
modificazioni, dalla legge 8 aprile 1998, n. 94, le parole da: "riguarda anche" fino alla fine del periodo sono
sostituite dalle seguenti: "è acquisito unitamente al consenso relativo al trattamento dei dati personali".
Art. 179. Altre modifiche
1. Nell'articolo 6 della legge 2 aprile 1958, n. 339, sono soppresse le parole: "; mantenere la necessaria
riservatezza per tutto quanto si riferisce alla vita familiare" e: "garantire al lavoratore il rispetto della sua
personalità e della sua libertà morale;".
2. Nell'articolo 38, primo comma, della legge 20 maggio 1970, n. 300, sono soppresse le parole: "4," e ",8".
3. Al comma 3 dell'articolo 12 del decreto legislativo 22 maggio 1999, n. 185, in materia di contratti a distanza,
sono aggiunte infine le seguenti parole: ", ovvero, limitatamente alla violazione di cui all'articolo 10, al Garante per
la protezione dei dati personali".
Capo II - Disposizioni transitorie
Art. 180. Misure di sicurezza
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto
del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 marzo 2006.
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive
ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo
34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a
data certa da conservare presso la propria struttura.
3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti
elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un
incremento dei rischi di cui all'articolo 31, adeguando i medesimi strumenti al più tardi entro il 30 giugno 2006.
Art. 181. Altre disposizioni transitorie
1. Per i trattamenti di dati personali iniziati prima del 1 gennaio 2004, in sede di prima applicazione del presente
codice:
a) l'identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20,
commi 2 e 3, e 21, comma 2, è effettuata, ove mancante, entro il 28 febbraio 2007;
b) la determinazione da rendere nota agli interessati ai sensi dell'articolo 26, commi 3, lettera a), e 4,
lettera a), è adottata, ove mancante, entro il 30 giugno 2004;
c) le notificazioni previste dall'articolo 37 sono effettuate entro il 30 aprile 2004;
d) le comunicazioni previste dall'articolo 39 sono effettuate entro il 30 giugno 2004;
e) [lettera abrogata]
f) l'utilizzazione dei modelli di cui all'articolo 87, comma 2, è obbligatoria a decorrere dal 1 gennaio 2005.
2. Le disposizioni di cui all'articolo 21-bis del decreto del Presidente della Repubblica 30 settembre 1963, n. 1409,
introdotto dall'articolo 9 del decreto legislativo 30 luglio 1999, n. 281, restano in vigore fino alla data di entrata in
vigore del presente codice.
3. L'individuazione dei trattamenti e dei titolari di cui agli articoli 46 e 53, da riportare nell'allegato C), è effettuata
in sede di prima applicazione del presente codice entro il 30 giugno 2004.
4. Il materiale informativo eventualmente trasferito al Garante ai sensi dell'articolo 43, comma 1, della legge 31
dicembre 1996, n. 675, utilizzato per le opportune verifiche, continua ad essere successivamente archiviato o
distrutto in base alla normativa vigente.
5. L'omissione delle generalità e degli altri dati identificativi dell'interessato ai sensi dell'articolo 52, comma 4, è
effettuata sulle sentenze o decisioni pronunciate o adottate prima dell'entrata in vigore del presente codice solo su
diretta richiesta dell'interessato e limitatamente ai documenti pubblicati mediante rete di comunicazione elettronica
o sui nuovi prodotti su supporto cartaceo o elettronico. I sistemi informativi utilizzati ai sensi dell'articolo 51,
comma 1, sono adeguati alla medesima disposizione entro dodici mesi dalla data di entrata in vigore del presente
codice.
6. Le confessioni religiose che, prima dell'adozione del presente codice, abbiano determinato e adottato nell'ambito
del rispettivo ordinamento le garanzie di cui all'articolo 26, comma 3, lettera a), possono proseguire l'attività di
trattamento nel rispetto delle medesime.
6-bis. Fino alla data in cui divengono efficaci le misure e gli accorgimenti prescritti ai sensi dell’articolo 132, comma
5, per la conservazione del traffico telefonico si osserva il termine di cui all’articolo 4, comma 2, del decreto
legislativo 13 maggio 1998, n. 171.
Art. 182. Ufficio del Garante
1. Al fine di assicurare la continuità delle attività istituzionali, in sede di prima applicazione del presente codice e
comunque non oltre il 31 marzo 2004, il Garante:
a) può individuare i presupposti per l'inquadramento in ruolo, al livello iniziale delle rispettive qualifiche e
nei limiti delle disponibilità di organico, del personale appartenente ad amministrazioni pubbliche o ad enti
pubblici in servizio presso l'Ufficio del Garante in posizione di fuori ruolo o equiparato alla data di
pubblicazione del presente codice;
b) può prevedere riserve di posti nei concorsi pubblici, unicamente nel limite del trenta per cento delle
disponibilità di organico, per il personale non di ruolo in servizio presso l'Ufficio del Garante che abbia
maturato un'esperienza lavorativa presso il Garante di almeno un anno.
Capo III - Abrogazioni
Art. 183. Norme abrogate
1. Dalla data di entrata in vigore del presente codice sono abrogati:
a) la legge 31 dicembre 1996, n. 675;
b) la legge 3 novembre 2000, n. 325;
c) il decreto legislativo 9 maggio 1997, n. 123;
d) il decreto legislativo 28 luglio 1997, n. 255;
e) l'articolo 1 del decreto legislativo 8 maggio 1998, n. 135;
f) il decreto legislativo 13 maggio 1998, n. 171;
g) il decreto legislativo 6 novembre 1998, n. 389;
h) il decreto legislativo 26 febbraio 1999, n. 51;
i) il decreto legislativo 11 maggio 1999, n. 135;
l) il decreto legislativo 30 luglio 1999, n. 281, ad eccezione degli articoli 8, comma 1, 11
e 12;
m) il decreto legislativo 30 luglio 1999, n. 282;
n) il decreto legislativo 28 dicembre 2001, n. 467;
o) il decreto del Presidente della Repubblica 28 luglio 1999, n. 318.
2. Dalla data di entrata in vigore del presente codice sono abrogati gli articoli 12, 13, 14, 15, 16, 17, 18, 19 e 20
del decreto del Presidente della Repubblica 31 marzo 1998, n. 501.
3. Dalla data di entrata in vigore del presente codice sono o restano, altresì, abrogati:
a) l'art. 5, comma 9, del decreto del Ministro della sanità 18 maggio 2001, n. 279, in materia di malattie
rare;
b) l'articolo 12 della legge 30 marzo 2001, n. 152;
c) l'articolo 4, comma 3, della legge 6 marzo 2001, n. 52, in materia di donatori midollo osseo;
d) l'articolo 16, commi 2 e 3, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, in
materia di certificati di assistenza al parto;
e) l'art. 2, comma 5, del decreto del Ministro della sanità 27 ottobre 2000, n. 380, in materia di flussi
informativi sui dimessi dagli istituti di ricovero;
f) l'articolo 2, comma 5-quater 1, secondo e terzo periodo, del decreto-legge 28 marzo 2000, n. 70,
convertito, con modificazioni, dalla legge 26 maggio 2000, n. 137, e successive modificazioni, in materia
di banca dati sinistri in ambito assicurativo;
g) l'articolo 6, comma 4, del decreto legislativo 5 giugno 1998, n. 204, in materia di diffusione di dati a fini
di ricerca e collaborazione in campo scientifico e tecnologico;
h) l'articolo 330-bis del decreto legislativo 16 aprile 1994, n. 297, in materia di diffusione di dati relativi a
studenti;
i) l'articolo 8, quarto comma, e l'articolo 9, quarto comma, della legge 1 aprile 1981, n. 121.
4. Dalla data in cui divengono efficaci le disposizioni del codice di deontologia e di buona condotta di cui all'articolo
118, i termini di conservazione dei dati personali individuati ai sensi dell'articolo 119, eventualmente previsti da
norme di legge o di regolamento, si osservano nella misura indicata dal medesimo codice.
Capo IV - Norme finali
Art. 184. Attuazione di direttive europee
1. Le disposizioni del presente codice danno attuazione alla direttiva 95/46/CE del Parlamento europeo e del
Consiglio, del 24 ottobre 1995, e alla direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio
2002.
2. Quando leggi, regolamenti e altre disposizioni fanno riferimento a disposizioni comprese nella legge 31 dicembre
1996, n. 675, e in altre disposizioni abrogate dal presente codice, il riferimento si intende effettuato alle
corrispondenti disposizioni del presente codice secondo la tavola di corrispondenza riportata in allegato.
3. Restano ferme le disposizioni di legge e di regolamento che stabiliscono divieti o limiti più restrittivi in materia di
trattamento di taluni dati personali.
Art. 185. Allegazione dei codici di deontologia e di buona condotta
1. L'allegato A) riporta, oltre ai codici di cui all'articolo 12, commi 1 e 4, quelli promossi ai sensi degli articoli 25 e
31 della legge 31 dicembre 1996, n. 675, e già pubblicati nella Gazzetta Ufficiale della Repubblica italiana alla data
di emanazione del presente codice.
Art. 186. Entrata in vigore
1. Le disposizioni di cui al presente codice entrano in vigore il 1 gennaio 2004, ad eccezione delle disposizioni di cui
agli articoli 156, 176, commi 3, 4, 5 e 6, e 182, che entrano in vigore il giorno successivo alla data di pubblicazione
del presente codice. Dalla medesima data si osservano altresì i termini in materia di ricorsi di cui agli articoli 149,
comma 8, e 150, comma 2.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della
Repubblica italiana. É fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Dato a Roma, addì 30 giugno 2003
ALLEGATI
Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio dell'attività giornalistica
Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici
Allegato A.3. Codice di deontologia - Trattamento dei dati personali a scopi statistici in ambito Sistan
Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici
Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di
crediti al consumo, affidabilità e puntualità nei pagamenti
Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere
investigazioni difensive
Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza
Allegato C. Trattamenti non occasionali effettuati o in ambito giudiziario o per fini di polizia
Tavola di corrispondenza dei riferimenti previgenti al codice in materia di protezione dei dati personali
B. Disciplinare tecnico in materia di misure minime di sicurezza
(aggiornato con abrogazioni disposte con d.l. 5/2012, convertito con legge n.35/2012)
(Artt. da 33 a 36 del Codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con
strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che
consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave
riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato,
eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato,
eventualmente associata a un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della
componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo
strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti
agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.
In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per
soli scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione
di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della
credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità
con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento
dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In
tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente
per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati
anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di
trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può
essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice
penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è
almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il
responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1.
l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti
ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle
misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto
alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati
personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da
adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di
idonei strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al
fine di evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono
essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi
contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli
strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute
e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al
fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli
interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro
trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato
elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla
esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del
presente disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o
aggiornamento del documento programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con
strumenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per
l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in
maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario
di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o
di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.
Inserimento nuovi codici:
MINISTERO DELLA GIUSTIZIA
DECRETO 14 gennaio 2005
Inserimento di codici di deontologia e di buona condotta nell'allegato a) del codice in materia di
protezione dei dati personali.
Gazzetta Ufficiale N. 23 del 29 Gennaio 2005
IL MINISTRO DELLA GIUSTIZIA
Decreta:
………………..
Art. 1.1.
Il codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici ed il codice di deontologia e
di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e puntualita' nei
pagamenti, oggetto, rispettivamente, delle deliberazioni del Garante per la protezione dei dati personali n. 2 in data 16 giugno 2004 e n. 8
in data 16 novembre 2004, sono riportati nell'allegato A) del decreto legislativo 30 giugno 2003, n. 196.
Roma, 14 gennaio 2005
Il Ministro: Castelli
……………
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 16 novembre 2004
Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo,
affidabilita' e puntualita' nei pagamenti. (Deliberazione n. 8).
Gazzetta Ufficiale N. 300 del 23 Dicembre 2004
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella seduta odierna, con la partecipazione del prof. Stefano Rodota', presidente del prof. Giuseppe Santaniello, vice presidente,del prof.
Gaetano Rasi e del dott. Mauro Paissan, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo
e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e
la Commissione incoraggiano l'elaborazione di codici di condotta
destinati a contribuire, in funzione delle specificita' settoriali,
alla corretta applicazione delle disposizioni nazionali di attuazione
della direttiva adottate dagli Stati membri;
Visti gli articoli 12 e 154, comma 1, lettera e) del Codice in
materia di protezione dei dati personali (decreto legislativo
30 giugno 2003, n. 196), i quali attribuiscono al Garante il compito
di promuovere nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentativita' e tenendo conto
dei criteri direttivi delle raccomandazioni del Consiglio d'Europa
sul trattamento dei dati personali, la sottoscrizione di codici di
deontologia e di buona condotta per determinati settori, verificarne
la conformita' alle leggi e ai regolamenti anche attraverso l'esame
di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
Visto l'art. 117 del codice con il quale e' stato demandato al
Garante il compito di promuovere la sottoscrizione di un Codice di
deontologia e di buona condotta per il trattamento dei dati personali
effettuato nell'ambito di sistemi informativi di cui sono titolari
soggetti privati, utilizzati a fini di concessione di crediti al
consumo, nonche' riguardanti l'affidabilita' e la puntualita' nei
pagamenti da parte degli interessati;
Visto il provvedimento generale del Garante adottato il 31 luglio
2002 (in Bollettino del Garante n. 30/2002, p. 47) con il quale,
nelle more dell'adozione del predetto codice di deontologia e di
buona condotta, sono state nel frattempo prescritte, ai soggetti
privati che gestiscono sistemi informativi di rilevazione di rischi
creditizi, nonche' alle banche e societa' finanziarie che vi
accedono, alcune prime misure da adottare al fine di conformare il
relativo trattamento ai principi in materia di protezione dei dati
personali;
Visto il provvedimento del 10 aprile 2002, pubblicato nella
Gazzetta Ufficiale della Repubblica italiana 8 maggio 2002, n. 106,
con il quale il Garante ha promosso la sottoscrizione del codice di
deontologia e di buona condotta;
Viste le comunicazioni pervenute al Garante in risposta al citato
provvedimento del 10 aprile 2002, con le quali diversi soggetti
privati, associazioni di categoria ed associazioni di consumatori
hanno manifestato la volonta' di partecipare all'adozione di tale
codice e rilevato che si e' anche formato un apposito gruppo di
lavoro composto da rappresentanti dei predetti soggetti;
Considerato che il testo del codice di deontologia e di buona
condotta e' stato oggetto di ampia diffusione anche attraverso la sua
pubblicazione sul sito Internet di questa Autorita', resa nota
tramite avviso nella Gazzetta Ufficiale della Repubblica italiana
18 agosto 2004, n. 193, al fine di favorire il piu' ampio dibattito e
di permettere la raccolta di eventuali osservazioni e integrazioni al
testo medesimo da parte di tutti i soggetti interessati;
Viste le osservazioni pervenute a seguito di tale avviso e le
modifiche apportate allo schema del codice, poi sottoscritto il
12 novembre 2004;
Constatata la conformita' del codice di deontologia e di buona
condotta alle leggi ed ai regolamenti anche in relazione a quanto
previsto dall'art. 12 del Codice;
Visto l'art. 5 del codice di deontologia e di buona condotta;
Considerato che dalle predette consultazioni sono emersi anche
alcuni dettagli operativi che rendono necessario indicare modalita'
di attuazione idonee ed efficaci delle disposizioni in materia di
informativa da rendere agli interessati ai sensi dell'art. 13 del
Codice;
Ritenuto pertanto indispensabile prescrivere, ai sensi dell'art.
154, comma 1, lettera c), del Codice, un modello unico per
l'informativa, basato su espressioni chiare, semplici e di agevole
comprensione, e da adottare da tutti i soggetti privati titolari dei
trattamenti di dati personali effettuati, in modo effettivo ed
uniforme;
Rilevato che il rispetto delle disposizioni contenute nel codice di
deontologia e di buona condotta costituisce condizione essenziale per
la liceita' e la correttezza del trattamento dei dati personali
effettuato da soggetti privati e pubblici (art. 12, comma 3, del
Codice);
Rilevato altresi' che i titolari del trattamento sono tenuti a fare
uso del modello unico di informativa che il presente provvedimento
prescrive, al quale potranno apportarvi eventuali modifiche
sostanziali o integrazioni con esso compatibili, unicamente previo
assenso di questa Autorita', salvi eventuali adattamenti meramente
formali;
Considerato che, ai sensi dell'art. 12, comma 2, del codice, il
codice di deontologia e di buona condotta deve essere pubblicato
nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante
e, con decreto del Ministro della giustizia, riportato nell'allegato
a) al medesimo Codice;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000, adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il dott. Mauro Paissan;
Tutto cio' premesso il Garante:
a) dispone la trasmissione del codice di deontologia e di buona
condotta per i sistemi informativi gestiti da soggetti privati in
tema di crediti al consumo, affidabilita' e puntualita' nei
pagamenti, che figura in allegato, all'Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministro
della giustizia per essere riportato nell'allegato a) al Codice;
b) individua, in allegato alla presente deliberazione, il modello
di informativa contenente i requisiti minimi che, ai sensi dell'art.
154, comma 1, lettera c), del codice, prescrive a tutti i titolari
del trattamento interessati di utilizzare nei termini di cui in
motivazione.
Roma, 16 novembre 2004
Il presidente: Rodota'
Allegato
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI
Preambolo
I sottoindicati soggetti privati sottoscrivono il presente codice
di deontologia e di buona condotta sulla base delle seguenti
premesse:
1) il trattamento di dati personali effettuato nell'ambito di
sistemi informativi di cui sono titolari soggetti privati, utilizzati
a fini di credito al consumo o comunque riguardanti l'affidabilita' e
la puntualita' dei pagamenti, deve svolgersi nel rispetto dei
diritti, delle liberta' fondamentali e della dignita' delle persone
interessate, in particolare del diritto alla protezione dei dati
personali, del diritto alla riservatezza e del diritto all'identita'
personale;
2) con il presente codice sono individuate adeguate garanzie e
modalita' di trattamento a tutela dei diritti degli interessati da
osservare nel perseguire finalita' di tutela del credito e di
contenimento dei relativi rischi, in modo da agevolare anche
l'accesso al credito al consumo e ridurre il rischio di eccessivo
indebitamento da parte degli interessati;
3) la sottoscrizione del presente codice e' promossa dal
Garante per la protezione dei dati personali nell'ambito delle
associazioni rappresentative degli operatori del settore, ai sensi
degli articoli 12 e 117 del Codice in materia di protezione dei dati
personali (decreto legislativo 30 giugno 2003, n. 196/2003);
4) tutti coloro che utilizzano dati personali per le finalita'
sopra indicate devono osservare le regole di comportamento stabilite
dal presente codice come condizione essenziale per la liceita' e la
correttezza del trattamento;
5) gli stessi operatori del settore devono rispettare,
altresi', le garanzie previste dal predetto Codice, in particolare in
tema di manifestazione del consenso e di altri presupposti di
liceita';
6) il presente codice non riguarda sistemi informativi di cui
sono titolari soggetti pubblici e, in particolare, il servizio di
centralizzazione dei rischi gestito dalla Banca d'Italia
(articoli 13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1,
lettera b), 106, 107, 144 e 145 del decreto legislativo 1° settembre
1993, n. 385 - Testo unico delle leggi in materia bancaria e
creditizia; delibera Cicr del 29 marzo 1994; provvedimento Banca
d'Italia 10 agosto 1995 - circolare Banca d'Italia 11 febbraio 1991,
n. 139 e successivi aggiornamenti). Al sistema centralizzato di
rilevazione dei rischi di importo contenuto istituito con
deliberazione Cicr del 3 maggio 1999 (in Gazzetta Ufficiale 8 luglio
1999, n. 158) si applicano alcuni principi stabiliti dal presente
codice in tema di informativa agli interessati e di esercizio dei
diritti, in quanto compatibili con la specifica disciplina di
riferimento (v., in particolare, le istruzioni della Banca d'Italia
nella Gazzetta Ufficiale 21 novembre 2000, n. 272).
Art. 1.
Definizioni
1. Ai fini del presente codice di deontologia e di buona
condotta, si applicano le definizioni elencate nel Codice in materia
di protezione dei dati personali (art. 4 decreto legislativo
30 giugno 2003, n. 196), di seguito denominato «Codice». Ai medesimi
fini, si intende inoltre per:
a) «richiesta/rapporto di credito»: qualsiasi richiesta o
rapporto riguardanti la concessione, nell'esercizio di un'attivita'
commerciale o professionale, di credito sotto forma di dilazione di
pagamento, di finanziamento o di altra analoga facilitazione
finanziaria ai sensi del testo unico delle leggi in materia bancaria
e creditizia (decreto legislativo 1° settembre 1993, n. 385);
b) «regolarizzazione degli inadempimenti»: l'estinzione delle
obbligazioni pecuniarie inadempiute (derivanti sia da un mancato
pagamento, sia da un ritardo), senza perdite o residui anche a titolo
di interessi e spese o comunque a seguito di vicende estintive
diverse dall'adempimento, in particolare a seguito di transazioni o
concordati;
c) «sistema di informazioni creditizie»: ogni banca di dati
concernenti richieste/rapporti di credito, gestita in modo
centralizzato da una persona giuridica, un ente, un'associazione o un
altro organismo in ambito privato e consultabile solo dai soggetti
che comunicano le informazioni in essa registrate e che partecipano
al relativo sistema informativo. Il sistema puo' contenere, in
particolare:
1) informazioni creditizie di tipo negativo, che riguardano
soltanto rapporti di credito per i quali si sono verificati
inadempimenti;
2) informazioni creditizie di tipo positivo e negativo, che
attengono a richieste/rapporti di credito a prescindere dalla
sussistenza di inadempimenti registrati nel sistema al momento del
loro verificarsi;
d) «gestore»: il soggetto privato titolare del trattamento dei
dati personali registrati in un sistema di informazioni creditizie e
che gestisce tale sistema stabilendone le modalita' di funzionamento
e di utilizzazione;
e) «partecipante»: il soggetto privato titolare del trattamento
dei dati personali raccolti in relazione a richieste/rapporti di
credito, che in virtu' di contratto o accordo con il gestore
partecipa al relativo sistema di informazioni creditizie e puo'
utilizzare i dati presenti nel sistema, obbligandosi a comunicare al
gestore i predetti dati personali relativi a richieste/rapporti di
credito in modo sistematico, in un quadro di reciprocita' nello
scambio di dati con gli altri partecipanti. Fatta eccezione di
soggetti che esercitano attivita' di recupero crediti, il
partecipante puo' essere:
1) una banca;
2) un intermediario finanziario;
3) un altro soggetto privato che, nell'esercizio di
un'attivita' commerciale o professionale, concede una dilazione di
pagamento del corrispettivo per la fornitura di beni o servizi;
f) «consumatore»: la persona fisica che, in relazione ad una
richiesta/rapporto di credito, agisce per scopi non riferibili
all'attivita' imprenditoriale o professionale eventualmente svolta;
g) «tempo di conservazione dei dati»: il periodo nel quale i
dati personali relativi a richieste/rapporti di credito rimangono
registrati in un sistema di informazioni creditizie ed utilizzabili
dai partecipanti per le finalita' di cui al presente codice;
h) «tecniche o sistemi automatizzati di credit scoring»: le
modalita' di organizzazione, aggregazione, raffronto od elaborazione
di dati personali relativi a richieste/rapporti di credito,
consistenti nell'impiego di sistemi automatizzati basati
sull'applicazione di
metodi o modelli statistici per valutare il rischio creditizio, e i
cui risultati sono espressi in forma di giudizi sintetici, indicatori
numerici o punteggi, associati all'interessato, diretti a fornire una
rappresentazione, in termini predittivi o probabilistici, del suo
profilo di rischio, affidabilita' o puntualita' nei pagamenti.
Art. 2.
Finalita' del trattamento
1. Il trattamento dei dati personali contenuti in un sistema di
informazioni creditizie e' effettuato dal gestore e dai partecipanti
esclusivamente per finalita' correlate alla tutela del credito e al
contenimento dei relativi rischi e, in particolare, per valutare la
situazione finanziaria e il merito creditizio degli interessati o,
comunque, la loro affidabilita' e puntualita' nei pagamenti.
2. Non puo' essere perseguito alcun altro scopo, specie se
relativo a ricerche di mercato e promozione, pubblicita' o vendita
diretta di prodotti o servizi.
Art. 3.
Requisiti e categorie dei dati
1. Il trattamento effettuato nell'ambito di un sistema di
informazioni creditizie riguarda solo dati riferiti al soggetto che
chiede di instaurare o e' parte di un rapporto di credito con un
partecipante e al soggetto coobbligato, anche in solido, la cui
posizione e' chiaramente distinta da quella del debitore principale.
2. Il trattamento non puo' riguardare i dati sensibili e quelli
giudiziari, e concerne dati personali di tipo obiettivo, strettamente
pertinenti e non eccedenti rispetto alle finalita' perseguite,
relativi ad una richiesta/rapporto di credito, e concernenti anche
ogni vicenda intervenuta a qualsiasi titolo o causa fino alla
regolarizzazione degli inadempimenti, nel rispetto dei tempi di
conservazione stabiliti dall'art. 6.
3. Per ogni richiesta/rapporto di credito segnalato ad un sistema
di informazioni creditizie possono essere trattate le seguenti
categorie di dati, che il gestore indica in un elenco reso
agevolmente disponibile su un proprio sito della rete di
comunicazione, nonche' comunica analiticamente agli interessati su
loro richiesta:
a) dati anagrafici, codice fiscale o partita IVA;
b) dati relativi alla richiesta/rapporto di credito,
descrittivi, in particolare, della tipologia di contratto,
dell'importo del credito, delle modalita' di rimborso e dello stato
della richiesta o dell'esecuzione del contratto;
c) dati di tipo contabile relativi ai pagamenti, al loro
andamento periodico, all'esposizione debitoria anche residua e alla
sintesi dello stato contabile del rapporto;
d) dati relativi ad attivita' di recupero del credito o
contenziose, alla cessione del credito o a eccezionali vicende che
incidono sulla situazione soggettiva o patrimoniale di imprese,
persone giuridiche o altri enti.
4. Le codifiche ed i criteri eventualmente utilizzati per
registrare dati in un sistema di informazioni creditizie e per
facilitarne il trattamento sono diretti esclusivamente a fornire una
rappresentazione oggettiva e corretta degli stessi dati, nonche'
delle vicende del rapporto di credito segnalato. L'utilizzo di tali
codifiche e criteri e' accompagnato da precise indicazioni circa il
loro significato, fornite dal gestore, osservate dai partecipanti e
rese agevolmente disponibili da entrambi, anche a richiesta degli
interessati.
5. Nel sistema di informazioni creditizie sono registrati gli
estremi identificativi del partecipante che ha comunicato i dati
personali relativi alla richiesta/rapporto di credito. Tali estremi
sono accessibili al gestore o agli interessati e non anche
intermediari partecipanti.
Art. 4.
Modalita' di raccolta e registrazione dei dati
1. Salvo quanto previsto dal comma 5, il gestore acquisisce
esclusivamente dai partecipanti i dati personali da registrare nel
sistema di informazioni creditizie.
2. Il partecipante adotta idonee procedure di verifica per
garantire la lecita utilizzabilita' nel sistema, la correttezza e
l'esattezza dei dati comunicati al gestore.
3. All'atto del ricevimento dei dati, il gestore verifica la loro
congruita' attraverso controlli di carattere formale e logico e, se i
dati risultano incompleti od incongrui, li ritrasmette al
partecipante che li ha comunicati, ai fini delle necessarie
integrazioni e correzioni. All'esito dei controlli e delle eventuali
integrazioni e correzioni, i dati sono registrati nel sistema di
informazioni creditizie e resi disponibili a tutti i partecipanti.
4. Il partecipante verifica con cura i dati da esso trattati e
risponde tempestivamente alle richieste di verifica del gestore,
anche a seguito dell'esercizio di un diritto da parte
dell'interessato.
5. Eventuali operazioni di eliminazione, integrazione o
modificazione dei dati registrati in un sistema di informazioni
creditizie sono disposte direttamente dal partecipante che li ha
comunicati, ove tecnicamente possibile, ovvero dal gestore su
richiesta del medesimo partecipante o d'intesa con esso, anche a
seguito dell'esercizio di un diritto da parte dell'interessato,
oppure in attuazione di un provvedimento dell'autorita' giudiziaria o
del Garante.
6. I dati relativi al primo ritardo nei pagamenti in un rapporto
di credito sono utilizzati e resi accessibili agli altri partecipanti
nel rispetto dei seguenti termini:
a) nei sistemi di informazioni creditizie di tipo negativo,
dopo almeno centoventi giorni dalla data di scadenza del pagamento o
in caso di mancato pagamento di almeno quattro rate mensili non
regolarizzate;
b) nei sistemi di informazioni creditizie di tipo positivo e
negativo:
1) qualora l'interessato sia un consumatore, decorsi sessanta
giorni dall'aggiornamento mensile di cui al successivo comma 8,
oppure in caso di mancato pagamento di almeno due rate mensili
consecutive, oppure quando il ritardo si riferisce ad una delle due
ultime scadenze di pagamento. Nel secondo caso i dati sono resi
accessibili dopo l'aggiornamento mensile relativo alla seconda rata
consecutivamente non pagata;
2) negli altri casi, dopo almeno trenta giorni
dall'aggiornamento mensile di cui al successivo comma 8 o in caso di
mancato pagamento di una rata.
7. Al verificarsi di ritardi nei pagamenti, il partecipante,
anche unitamente all'invio di solleciti o di altre comunicazioni,
avverte l'interessato circa l'imminente registrazione dei dati in uno
o piu' sistemi di informazioni creditizie. I dati relativi al primo
ritardo di cui al comma 6 possono essere resi accessibili ai
partecipanti solo decorsi almeno quindici giorni dalla spedizione del
preavviso all'interessato.
8. Fermo restando quanto previsto dal comma 6, i dati registrati
in un sistema di informazioni creditizie sono aggiornati
periodicamente, con cadenza mensile, a cura del partecipante che li
ha comunicati.
Art. 5.
Informativa
1. Al momento della raccolta dei dati personali relativi a
richieste/rapporti di credito, il partecipante informa l'interessato
ai sensi dell'art. 13 del Codice anche con riguardo al trattamento
dei dati personali effettuato nell'ambito di un sistema di
informazioni creditizie.
2. L'informativa di cui al comma 1 reca in modo chiaro e preciso,
nell'ambito della descrizione delle finalita' e delle modalita' del
trattamento, nonche' degli altri elementi di cui all'art. 13 del
Codice, le seguenti indicazioni:
a) estremi identificativi dei sistemi di informazioni
creditizie cui sono comunicati i dati personali e dei rispettivi
gestori;
b) categorie di partecipanti che vi accedono;
c) tempi di conservazione dei dati nei sistemi di informazioni
creditizie cui sono comunicati;
d) modalita' di organizzazione, raffronto ed elaborazione dei
dati, nonche' eventuale uso di tecniche o sistemi automatizzati di
credit scoring;
e) modalita' per l'esercizio da parte degli interessati dei
diritti previsti dall'art. 7 del Codice.
3. L'informativa di cui al comma 2 e' fornita agli interessati
per iscritto secondo il modello allegato alla deliberazione che
verifica la conformita' del presente codice e, se inserita in un
modulo utilizzato dal partecipante, e' adeguatamente evidenziata e
collocata in modo autonomo ed unitario, in parti o riquadri distinti
da quelli relativi ad eventuali altre finalita' del trattamento
effettuato dal medesimo partecipante.
4. L'informativa dovuta per effetto di eventuali aggiornamenti o
modifiche relativi alle indicazioni rese ai sensi del comma 2, anche
in caso di cambiamento della denominazione e della sede del gestore,
e' fornita attraverso comunicazioni periodiche, nonche' su uno o piu'
siti Internet e a richiesta degli interessati.
5. Ad integrazione dell'informativa resa dai partecipanti
singolarmente ad ogni interessato, il gestore fornisce un'informativa
piu' dettagliata attraverso modalita' ulteriori di diffusione delle
informazioni al pubblico, anche mediante strumenti telematici.
6. Quando la richiesta di credito non e' accolta, il partecipante
comunica all'interessato se, per istruire la richiesta di credito, ha
consultato dati personali relativi ad informazioni creditizie di tipo
negativo in uno o piu' sistemi, indicandogli gli estremi
identificativi del sistema da cui sono state rilevate tali
informazioni e del relativo gestore.
7. Il partecipante fornisce all'interessato le altre notizie di
cui agli articoli 9, comma 1, lettera d), e 10, comma 1, lettera c).
Art. 6.
Conservazione e aggiornamento dei dati
1. I dati personali riferiti a richieste di credito, comunicati
dai partecipanti, possono essere conservati in un sistema di
informazioni creditizie per il tempo necessario alla relativa
istruttoria e comunque non oltre centottanta giorni dalla data di
presentazione delle richieste medesime. Se la richiesta di credito
non e' accolta o e' oggetto di rinuncia il partecipante ne da'
notizia al gestore con l'aggiornamento mensile di cui all'art. 4,
comma 8. In tal caso, i dati personali relativi alla richiesta cui
l'interessato ha rinunciato o che non e' stata accolta possono essere
conservati nel sistema non oltre trenta giorni dalla data del loro
aggiornamento.
2. Le informazioni creditizie di tipo negativo relative a ritardi
nei pagamenti, successivamente regolarizzati, possono essere
conservate in un sistema di informazioni creditizie fino a:
a) dodici mesi dalla data di registrazione dei dati relativi
alla regolarizzazione di ritardi non superiori a due rate o mesi;
b) ventiquattro mesi dalla data di registrazione dei dati
relativi alla regolarizzazione di ritardi superiori a due rate o
mesi.
3. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal
sistema di informazioni creditizie se nel corso dei medesimi
intervalli di tempo non sono registrati dati relativi ad ulteriori
ritardi o inadempimenti.
4. Il partecipante ed il gestore aggiornano senza ritardo i dati
relativi alla regolarizzazione di inadempimenti di cui abbiano
conoscenza, avvenuta dopo la cessione del credito da parte del
partecipante ad un soggetto che non partecipa al sistema, anche a
seguito di richiesta dell'interessato munita di dichiarazione del
soggetto cessionario del credito o di altra idonea documentazione.
5. Le informazioni creditizie di tipo negativo relative a
inadempimenti non successivamente regolarizzati possono essere
conservate nel sistema di informazioni creditizie non oltre trentasei
mesi dalla data di scadenza contrattuale del rapporto oppure, in caso
di altre vicende rilevanti in relazione al pagamento, dalla data in
cui e' risultato necessario il loro ultimo aggiornamento, o comunque
dalla data di cessazione del rapporto.
6. Le informazioni creditizie di tipo positivo relative ad un
rapporto che si e' esaurito con estinzione di ogni obbligazione
pecuniaria, possono essere conservate nel sistema non oltre
ventiquattro mesi dalla data di cessazione del rapporto o di scadenza
del relativo contratto, ovvero dal primo aggiornamento effettuato nel
mese successivo a tali date. Tenendo conto del requisito della
completezza dei dati in rapporto alle finalita' perseguite (art. 11,
comma 1, lettera d) del Codice), le predette informazioni di tipo
positivo possono essere conservate ulteriormente nel sistema qualora
in quest'ultimo risultino presenti, in relazione ad altri rapporti di
credito riferiti al medesimo interessato, informazioni creditizie di
tipo negativo concernenti ritardi od inadempimenti non regolarizzati.
In tal caso, le informazioni creditizie di tipo positivo sono
eliminate dal sistema allo scadere del termine previsto dal comma 5
per la conservazione delle informazioni di tipo negativo registrate
nel sistema in riferimento agli altri rapporti di credito con
l'interessato.
7. Qualora il consumatore interessato comunichi al partecipante
la revoca del consenso al trattamento delle informazioni di tipo
positivo, nell'ambito del sistema di informazioni creditizie, il
partecipante ne da' notizia al gestore con l'aggiornamento mensile di
cui all'art. 4, comma 8. In tal caso, e in quello in cui la revoca
gli sia stata comunicata direttamente dall'interessato, il gestore
registra la notizia nel sistema ed elimina le informazioni non oltre
novanta giorni dall'aggiornamento o dalla comunicazione.
8. Prima dell'eliminazione dei dati dal sistema di informazioni
creditizie nei termini indicati ai precedenti commi, il gestore puo'
trasporre i dati su altro supporto, ai fini della limitata
conservazione per il tempo necessario, esclusivamente in relazione ad
esigenze di difesa di un proprio diritto in sede giudiziaria, nonche'
della loro eventuale elaborazione statistica in forma anonima.
9. Le disposizioni del presente art. non riguardano la
conservazione ad uso interno, da parte del partecipante, della
documentazione contrattuale o contabile contenente i dati personali
relativi alla richiesta/rapporto di credito.
Art. 7.
Utilizzazione dei dati
1. Il partecipante puo' accedere al sistema di informazioni
creditizie anche mediante consultazione di copia della relativa banca
dati, rispetto a dati per i quali sussiste un suo giustificato
interesse, riguardanti esclusivamente:
a) consumatori che chiedono di instaurare o sono parte di un
rapporto di credito con il medesimo partecipante e soggetti
coobbligati, anche in solido;
b) soggetti che agiscono nell'ambito della loro attivita'
imprenditoriale o professionale per i quali sia stata avviata
un'istruttoria per l'instaurazione di un rapporto di credito o
comunque per l'assunzione di un rischio di credito, oppure che siano
gia' parte di un rapporto di credito con il medesimo partecipante;
c) soggetti aventi un collegamento di tipo giuridico con quelli
di cui alla lettera b), in particolare in quanto obbligati in solido
o appartenenti a gruppi di imprese, sempre che i dati personali cui
il partecipante intende accedere risultino oggettivamente necessari
per valutare la situazione finanziaria e il merito creditizio dei
soggetti di cui alla stessa lettera b).
2. Il sistema di informazioni creditizie e' accessibile dal
partecipante e dal gestore solo da un numero limitato, rispetto
all'intera organizzazione del titolare, di responsabili ed incaricati
del trattamento designati per iscritto, con esclusivo riferimento ai
dati strettamente necessari, pertinenti e non eccedenti in rapporto
alle finalita' indicate nell'art. 2, in relazione alle specifiche
esigenze derivanti dall'istruttoria di una richiesta di credito o
dalla gestione di un rapporto, concretamente verificabili sulla base
degli elementi in possesso dei partecipanti medesimi. Nei soli limiti
e con le medesime modalita' appena indicate, il sistema e'
accessibile anche da banche ed intermediari finanziari appartenenti
al gruppo bancario del partecipante all'esclusivo fine di curare
l'istruttoria per l'instaurazione del rapporto di credito con
l'interessato o comunque per l'assunzione del relativo rischio.
3. I partecipanti accedono al sistema di informazioni creditizie
attraverso le modalita' e gli strumenti anche telematici individuati
per iscritto con il gestore, nel rispetto della normativa sulla
protezione dei dati personali. I dati personali relativi a
richieste/rapporti di credito registrati in un sistema di
informazioni creditizie sono consultabili con modalita' di accesso
graduale e selettivo, attraverso uno o piu' livelli di consultazione
di informazioni sintetiche o riepilogative dei dati riferiti
all'interessato, prima della loro visione in dettaglio e con
riferimento anche ad eventuali dati riferiti a soggetti coobbligati o
collegati ai sensi del comma 1. Sono, in ogni caso, precluse, anche
tecnicamente, modalita' di accesso che permettano interrogazioni di
massa o acquisizioni di elenchi di dati concernenti
richieste/rapporti di credito relativi a soggetti diversi da quelli
che hanno chiesto di instaurare o sono parte di un rapporto di
credito con il partecipante.
4. Non e' inoltre consentito l'accesso ad un sistema di
informazioni creditizie da parte di terzi, fatte salve le richieste
da parte di organi giudiziari e di polizia giudiziaria per ragioni di
giustizia, oppure da parte di altre istituzioni, autorita',
amministrazioni o enti pubblici nei soli casi previsti da leggi,
regolamenti o normative comunitarie e con l'osservanza delle norme
che regolano la materia.
Art. 8.
Accesso ed esercizio di altri diritti degli interessati
1. In relazione ai dati personali registrati in un sistema di
informazioni creditizie, gli interessati possono esercitare i propri
diritti secondo le modalita' stabilite dal Codice, sia presso il
gestore, sia presso i partecipanti che li hanno comunicati. Tali
soggetti garantiscono, anche attraverso idonee misure organizzative e
tecniche, un riscontro tempestivo e completo alle richieste avanzate.
2. Nella richiesta con la quale esercita i propri diritti,
l'interessato indica anche, ove possibile, il codice fiscale e/o la
partita IVA, al fine di agevolare la ricerca dei dati che lo
riguardano nel sistema di informazioni creditizie.
3. Il terzo al quale l'interessato conferisce, per iscritto,
delega o procura per l'esercizio dei propri diritti, puo' trattare i
dati personali acquisiti presso un sistema di informazioni creditizie
esclusivamente per finalita' di tutela dei diritti dell'interessato,
con esclusione di ogni altro scopo perseguito dal terzo medesimo o da
soggetti ad esso collegati.
4. Il partecipante, al quale e' rivolta una richiesta con cui e'
esercitato taluno dei diritti di cui all'art. 7 del Codice
relativamente alle informazioni creditizie registrate in un sistema,
fornisce direttamente riscontro nei termini previsti dall'art. 146,
commi 2 e 3 del Codice e dispone le eventuali modifiche ai dati ai
sensi dell'art. 4, comma 5. Se la richiesta e' rivolta al gestore,
quest'ultimo provvede anch'esso direttamente nei medesimi termini,
consultando ove necessario il partecipante.
5. Qualora sia necessario svolgere ulteriori o particolari
verifiche con il partecipante, il gestore informa l'interessato di
tale circostanza entro il termine di quindici giorni previsto dal
codice ed indica un altro termine per la risposta, che non puo'
essere superiore ad ulteriori quindici giorni. Durante il periodo
necessario ad effettuare le ulteriori verifiche con il partecipante,
il gestore:
a) nell'arco dei primi quindici giorni, mantiene nel sistema di
informazioni creditizie l'indicazione relativa allo svolgimento delle
verifiche, tramite specifica codifica o apposito messaggio da apporre
in corrispondenza dei dati oggetto delle richieste dell'interessato;
b) negli ulteriori quindici giorni, sospende la visualizzazione
nel sistema di informazioni creditizie dei dati oggetto delle
verifiche.
6. In caso di richieste di cui al comma 4 riguardanti effettive
contestazioni relative ad inadempimenti del venditore/fornitore dei
beni o servizi oggetto del contratto sottostante al rapporto di
credito, il gestore annota senza ritardo nel sistema di informazioni
creditizie, su richiesta dell'interessato, del partecipante o
informando quest'ultimo, la notizia relativa all'esistenza di tali
contestazioni, tramite l'inserimento di una specifica codifica da
apporre in corrispondenza dei dati relativi al rapporto di credito.
Art. 9.
Uso di tecniche o sistemi automatizzati di credit scoring
1. Nei casi in cui i dati personali contenuti in un sistema di
informazioni creditizie siano trattati anche mediante l'impiego di
tecniche o sistemi automatizzati di credit scoring, il gestore e i
partecipanti assicurano il rispetto dei seguenti principi:
a) le tecniche o i sistemi, messi a disposizione dal gestore o
impiegati per conto dei partecipanti, possono essere utilizzati solo
per l'istruttoria di una richiesta di credito o per la gestione dei
rapporti di credito instaurati;
b) i dati relativi a giudizi, indicatori o punteggi associati
ad un interessato sono elaborati e comunicati dal gestore al solo
partecipante che ha ricevuto la richiesta di credito dall'interessato
o che ha precedentemente comunicato dati riguardanti il relativo
rapporto di credito e, comunque, non sono conservati nel sistema di
informazioni creditizie ai sensi dell'art. 6 del presente codice, ne'
resi accessibili agli altri partecipanti;
c) i modelli o i fattori di analisi statistica, nonche' gli
algoritmi di calcolo dei giudizi, indicatori o punteggi sono
verificati periodicamente con cadenza almeno annuale ed aggiornati in
funzione delle risultanze di tali verifiche;
d) quando la richiesta di credito non e' accolta, il
partecipante comunica all'interessato se, per istruire la richiesta
di credito, ha consultato dati relativi a giudizi, indicatori o
punteggi di tipo negativo ottenuti mediante l'uso di tecniche o
sistemi automatizzati di credit scoring e, su sua richiesta, gli
fornisce tali dati, nonche' una spiegazione delle logiche di
funzionamento dei sistemi utilizzati e delle principali tipologie di
fattori tenuti in considerazione nell'elaborazione.
Art. 10.
Trattamento di dati provenienti da fonti pubbliche
1. Nei casi in cui il gestore di un sistema di informazioni
creditizie, direttamente o per il tramite di societa' collegate o
controllate, effettua in ogni forma di dati personali provenienti da
pubblici registri, elenchi, atti o documenti conoscibili da chiunque
o comunque fornisce ai partecipanti servizi per accedere ai dati
provenienti da tali fonti, fermi restando i limiti e le modalita' che
le leggi stabiliscono per la loro conoscibilita' e pubblicita',
nonche' le disposizioni di cui all'art. 61, comma 1, del Codice, il
gestore e i partecipanti assicurano il rispetto dei seguenti
principi:
a) i dati personali provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque, se registrati, devono
figurare in banche di dati personali separate dal sistema di
informazioni creditizie e non interconnesse a tale sistema;
b) nel caso di accesso del partecipante a dati personali
contenuti sia in un sistema di informazioni creditizie, sia in una
delle banche di dati di cui alla lettera a), il gestore adotta le
adeguate misure tecniche ed organizzative al fine di assicurare la
separazione e la distinguibilita' dei dati provenienti dal sistema di
informazioni creditizie rispetto a quelli provenienti da altre banche
dati, anche attraverso l'inserimento di idonee indicazioni,
eliminando ogni possibilita' di equivoco circa la diversa natura ed
origine dei dati oggetto dell'accesso;
c) quando la richiesta di credito non e' accolta, il
partecipante comunica all'interessato se, per istruire la richiesta
di credito, ha consultato anche dati personali di tipo negativo nelle
banche di dati di cui alla lettera a) e, su sua richiesta, specifica
la fonte pubblica da cui provengono i dati medesimi.
Art. 11.
Misure di sicurezza dei dati
1. I dati personali oggetto di trattamento nell'ambito di un
sistema di informazioni creditizie hanno carattere riservato e non
possono essere divulgati a terzi, al di fuori dei casi previsti dal
Codice e nei precedenti articoli.
2. Le persone fisiche che, in qualita' di responsabili o di
incaricati del trattamento designati dal gestore o dai partecipanti,
hanno accesso al sistema di informazioni creditizie, mantengono il
segreto sui dati personali acquisiti e rispondono della violazione
degli obblighi di riservatezza derivanti da un'utilizzazione dei dati
o una divulgazione a terzi per finalita' diverse o incompatibili con
le finalita' di cui all'art. 2 del presente codice o comunque non
consentite.
3. Il gestore e i partecipanti adottano le misure tecniche,
logiche, informatiche, procedurali, fisiche ed organizzative idonee
ad assicurare la sicurezza, l'integrita' e la riservatezza dei dati
personali e delle comunicazioni elettroniche in conformita' alla
disciplina in materia di protezione dei dati personali.
4. Il gestore adotta adeguate misure di sicurezza al fine di
garantire il corretto e regolare funzionamento del sistema di
informazioni creditizie, nonche' il controllo degli accessi. Questi
ultimi sono registrati e memorizzati nel sistema informativo del
gestore medesimo o di ogni partecipante presso cui risieda copia
della stessa banca dati.
5. In relazione al rispetto degli obblighi di sicurezza,
riservatezza e segretezza di cui al presente articolo, il gestore e i
partecipanti impartiscono specifiche istruzioni per iscritto ai
rispettivi responsabili ed incaricati del trattamento e vigilano
sulla loro puntuale osservanza, anche attraverso verifiche da parte
di idonei organismi di controllo.
Art. 12.
Misure sanzionatorie
1. Ferme restando le sanzioni amministrative, civili e penali
previste dalla normativa vigente, i gestori e i partecipanti
prevedono d'intesa tra di loro, anche per il tramite delle
associazioni che sottoscrivono il presente codice, idonei meccanismi
per l'applicazione, in particolare da parte delle associazioni di
categoria che sottoscrivono il presente codice o dell'organismo di
cui all'art. 13, comma 7, previa informativa al Garante, di misure
sanzionatorie graduate a seconda della gravita' della violazione. Le
misure comprendono il richiamo formale, la sospensione o la revoca
dell'autorizzazione ad accedere al sistema di informazioni creditizie
e, nei casi piu' gravi, anche la pubblicazione della notizia della
violazione su uno o piu' quotidiani o periodici nazionali, a spese
del contravventore.
Art. 13.
Disposizioni transitorie e finali
1. Le misure necessarie per l'applicazione del presente codice di
deontologia e di buona condotta sono adottate dai soggetti tenuti a
rispettarlo al piu' tardi entro il 30 aprile 2005.
2. Entro il termine di cui al comma 1, il gestore del sistema
centralizzato di rilevazione dei rischi di importo contenuto,
istituito con deliberazione Cicr del 3 maggio 1999 (pubblicata nella
Gazzetta Ufficiale 8 luglio 1999, n. 158), nonche' i relativi
partecipanti, adottano le misure necessarie per l'applicazione degli
articoli 5 e 8, commi 1, 2, 3, 4 e 5, primo periodo, del presente
codice in tema di informativa agli interessati e di esercizio dei
diritti, ad integrazione di quanto previsto nel punto 3 delle
istruzioni della Banca d'Italia (pubblicate nella Gazzetta Ufficiale
21 novembre 2000, n. 272).
3. I partecipanti forniscono entro i tre mesi successivi al
termine di cui al comma 1, nell'ambito delle comunicazioni periodiche
inviate alla clientela, le informazioni di cui all'art. 5, commi 1 e
2, del presente codice eventualmente non comprese nelle informative
precedentemente rese agli interessati i cui dati personali risultino
gia' registrati in un sistema di informazioni creditizie.
4. In sede di prima applicazione delle disposizioni di cui
all'art. 6, comma 6, i gestori riducono entro il 30 giugno 2005, ad
un termine non superiore a trentasei mesi, i tempi di conservazione
dei dati personali relativi ad informazioni creditizie di tipo
positivo. Entro il 31 dicembre 2005 l'organismo di cui al comma 7
valuta, con atto motivato, se l'esperienza maturata e l'incidenza
delle misure previste dal presente codice sui diritti degli
interessati, tenuto anche conto dell'efficienza dei sistemi di
informazioni creditizie, giustifichino il mantenimento del predetto
termine di trentasei mesi. Il medesimo termine si intende mantenuto
qualora il Garante, su richiesta del predetto organismo o di propria
iniziativa, non disponga diversamente. Entro il 31 gennaio 2006 il
Garante dispone la pubblicazione sulla Gazzetta Ufficiale del proprio
provvedimento o di un avviso indicante il termine da osservare.
5. Al fine di consentire il controllo sulla corretta attuazione
delle disposizioni del presente codice, ogni gestore comunica al
Garante, non oltre due mesi dal termine di cui al comma 1 e secondo
le modalita' indicate da quest'ultimo:
a) oltre ai propri estremi identificativi e recapiti, una
descrizione generale delle modalita' di funzionamento del sistema di
informazioni creditizie e di accesso da parte dei partecipanti, che
permetta di valutare l'adeguatezza delle misure, anche tecniche ed
organizzative, adottate per l'applicazione del presente codice;
b) in relazione alle parti aventi riflessi in materia di
protezione dei dati personali e di applicazione del presente codice,
i modelli di contratti, accordi, convenzioni, regolamenti o
istruzioni che disciplinano le modalita' di partecipazione ed accesso
dei partecipanti al sistema di informazioni creditizie, nonche' la
documentazione circa le misure adottate in tema di sicurezza,
riservatezza e segretezza dei dati;
c) i documenti di cui agli articoli 3, commi 3 e 4, 5, commi 4
e 5, e di cui al successivo comma 7.
6. Le comunicazioni di cui al comma 5 sono inviate al Garante,
anche successivamente al predetto termine, da qualsiasi titolare che,
in qualita' di gestore di un sistema di informazioni creditizie,
intenda procedere ad un trattamento di dati personali soggetto
all'ambito di applicazione del presente codice. I gestori trasmettono
al Garante eventuali variazioni delle comunicazioni e dei documenti
precedentemente inviati, non oltre la fine dell'anno in cui sono
avvenute le variazioni.
7. Il gestore effettua verifiche periodiche, con cadenza almeno
annuale, sulla liceita' e correttezza del trattamento, controllando
l'esattezza e completezza dei dati riferiti ad un congruo numero di
richieste/rapporti di credito, estratti a campione. Il controllo e'
eseguito da un organismo composto da almeno un rappresentante del
gestore, un rappresentante dei partecipanti designato a rotazione e
un rappresentante delle associazioni dei consumatori designato dal
Consiglio nazionale dei consumatori ed utenti. Il verbale dei
controlli e' trasmesso al Garante.
8. Allo scopo di vigilare sulla puntuale osservanza delle
disposizioni contenute nel presente codice e fermi restando i poteri
previsti dal Codice in materia di accertamenti e controlli, il
Garante puo' concordare con il gestore l'esecuzione di altre
verifiche periodiche presso i luoghi ove si svolge il trattamento dei
dati personali, con eventuali accessi, anche a campione, al sistema
di informazioni creditizie. Il Garante puo' eseguire analoghi
controlli concordati sugli accessi effettuati da parte dei
partecipanti.
9. Le associazioni di categoria che sottoscrivono il presente
codice e i gestori avviano forme di collaborazione con le
associazioni dei consumatori e con il Garante, al fine di individuare
sia soluzioni operative per il rispetto del presente codice, sia
sistemi alternativi di risoluzione delle controversie derivanti
dall'applicazione del presente codice.
10. Il Garante, anche su richiesta delle associazioni di
categoria che sottoscrivono il presente codice, promuove il periodico
riesame e l'eventuale adeguamento alla luce del progresso
tecnologico, dell'esperienza acquisita nella sua applicazione o di
novita' normative.
Art. 14.
Entrata in vigore
1. Il presente codice si applica a decorrere dal 1° gennaio 2005.
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI (ART. 117 DEL DECRETO
LEGISLATIVO N. 196/2003)
Sottoscritto da:
AISReC - Associazione italiana delle societa' di referenza
creditizia;
ABI - Associazione bancaria italiana;
FEDERCASSE - Federazione italiana delle banche di credito
cooperativo;
ASSOFIN - Associazione italiana del credito al consumo e
immobiliare;
ASSILEA - Associazione italiana leasing;
CTC - Consorzio per la tutela del credito;
ADICONSUM - Associazione difesa consumatori e ambiente;
ADOC - Associazione per la difesa e l'orientamento dei
consumatori;
ADUSBEF - Associazione difesa utenti servizi bancari finanziari
assicurativi e postali;
CODACONS - Coordinamento delle associazioni per la difesa
dell'ambiente e la tutela dei diritti di utenti e di consumatori;
FEDERCONSUMATORI - Federazione nazionale consumatori e utenti.
ALLEGATO B
DISCIPLINARE TECNICO
IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in caso di trattamento con strumenti
elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano
il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata
conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a
un codice identificativo o a una parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente
riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo
strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente
riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di
trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli
scopi di gestione tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di
trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della
credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le
quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che
renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle
copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della
loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai
trattamenti dei dati personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per
classi omogenee di incarico e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale,
mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne
difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Le misure numerate da 19.1 a 19.8 sono state abrogate:
[Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile,
se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini
della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui
al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure
disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative
attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali
affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.]
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all' art. 615-ter del codice penale, mediante l'utilizzo di idonei
strumenti elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di
evitare accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono
intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti
elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita
sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire
il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi
all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori
muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione
riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente
disciplinare tecnico.
La misura 26 è stata abrogata:
[26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del
documento programmatico sulla sicurezza.]
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti
diversi da quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento
delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta
anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera
che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di
chiusura, sono identificate e registrate.
Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi
accedono sono preventivamente autorizzate.
DECRETO DEL PRESIDENTE DELLA REPUBBLICA
31/03/1998, N. 501
Regolamento recante norme per l’organizzazione ed il funzionamento dell’Ufficio del Garante per la
protezione dei dati personali, a norma dell’articolo 33, comma 3, della Legge 31 dicembre 1996, n. 675.
CAPO I - IL GARANTE
Art. 1. Definizioni
1. Ai fini del presente regolamento si applicano le definizioni elencate nell’articolo 1 della Legge 31 dicembre 1996, n. 675, di seguito
denominata “legge”. Ai medesimi fini, si intende, altresì:
a) per “presidente”, il presidente del Garante per la protezione dei dati personali;
b) per “componenti”, i componenti del Garante per la protezione dei dati personali;
c) per “Ufficio”, l’Ufficio del Garante per la protezione dei dati personali.
Art. 2. Garante
1. Il Garante:
a) determina gli indirizzi e i criteri generali della propria attività;
b) nomina, su proposta del presidente, il segretario generale;
c) definisce gli obiettivi ed i programmi da attuare da parte del segretario generale, indica le priorità ed emana le conseguenti direttive
generali per l’azione amministrativa e per la gestione;
d) assolve ad ogni altro compito previsto dalle leggi e dai regolamenti.
Art. 3. Presidente e componenti
1. Il presidente è eletto dai componenti a scrutinio segreto con il voto di almeno tre componenti. Se tale maggioranza non è raggiunta
dopo la terza votazione, è eletto presidente il componente che consegue il maggior numero di voti e, a parità di voti, il più anziano di
età.
2. Il presidente rappresenta il Garante, e sulla base degli indirizzi e dei criteri generali di cui all’articolo 2, comma 1, lettera a):
a) designa i componenti preposti alla cura di singole questioni;
b) convoca le riunioni del Garante, ne stabilisce l’ordine del giorno, designa i relatori e dirige i lavori;
c) coordina i rapporti del Garante con il Parlamento e con gli altri organi costituzionali o di rilievo costituzionale, e sovrintende alle
relazioni con le autorità indipendenti e di vigilanza, con le pubbliche amministrazioni, con le autorità di controllo degli altri Paesi, con
gli organi dell’Unione europea e del Consiglio d’Europa e con altri organismi internazionali;
d) promuove e resiste alle liti e ha il potere di conciliare e di transigere.
3. Il Garante nomina un vicepresidente, che assume le funzioni del presidente in caso di sua assenza o impedimento.
4. Il presidente può delegare temporaneamente singole funzioni ad uno dei componenti.
5. I componenti curano i rapporti di cui al comma 2, lettera c), del presente articolo, in base alle decisioni del Garante.
Art. 4. Insediamento dell’organo e cessazione dei componenti
1. I componenti dichiarano formalmente, all’atto dell’accettazione della nomina, di non trovarsi in alcuna delle situazioni di cui
all’articolo 30, comma 4, della legge.
2. Se ricorre in ogni tempo taluna delle situazioni di incompatibilità di cui all’articolo 30, comma 4, della legge, il Garante stabilisce un
termine entro il quale l’interessato deve far cessare la situazione di incompatibilità. La deliberazione è adottata con l’astensione
dell’interessato.
3. Decorso il termine di cui al comma 2, ove non sia cessata la situazione di incompatibilità, il Garante dichiara la decadenza del
componente ai sensi dell’articolo 30, comma 4, della legge.
4. La durata in carica del componente decorre dalla data di accettazione della nomina.
5. I componenti cessano dalla carica, oltre che nell’ipotesi di cui al comma 3, per dimissioni volontarie o per impossibilità a svolgere la
propria attività a causa di un impedimento di natura permanente o comunque superiore a sei mesi.
6. Le dimissioni dei componenti hanno effetto dalla data di comunicazione della loro accettazione da parte del Garante. L’impedimento
permanente di cui al comma che precede è accertato dal Garante.
7. Nei casi di cui ai commi 3 e 5, il presidente o chi ne fa le veci informa immediatamente i Presidenti della Camera dei deputati e del
Senato della Repubblica per l’elezione del nuovo componente.
Art. 5. Riunioni
1. Il Garante ha sede in Roma e si riunisce nel luogo indicato nell’atto di convocazione. Le riunioni possono essere tenute in
videoconferenza.
2. L’ordine del giorno è comunicato ai componenti entro il secondo giorno che precede la riunione. Nei casi d’urgenza, la convocazione
può essere immediata. Durante le riunioni, l’ordine del giorno può essere integrato, previa comunicazione immediata agli assenti, se
nessuno dei presenti si oppone.
3. Ciascun componente, indicandone le ragioni, può chiedere la convocazione del Garante e l’iscrizione di un argomento all’ordine del
giorno. Se la richiesta proviene da almeno due componenti, il presidente la accoglie in ogni caso.
4. Salvi i casi di urgenza, la competente struttura predispone la documentazione utile entro il quinto giorno antecedente alla riunione, e
sottopone al segretario generale lo schema delle osservazioni dell’Ufficio. Le osservazioni e la relativa documentazione sono formate
anche mediante strumenti informatici e telematici e poste senza ritardo a disposizione del presidente e dei componenti, unitamente agli
eventuali aggiornamenti.
5. Per la validità delle riunioni del Garante è necessaria la presenza del presidente e di due componenti, ovvero di tre componenti. Le
deliberazioni sono adottate a maggioranza dei votanti. Il voto è sempre palese, salvo nel caso di deliberazioni concernenti il presidente
o i componenti, le persone addette all’Ufficio o i consulenti.
6. Il segretario generale svolge le funzioni di segretario. Il presidente può chiamare il segretario generale o altro funzionario a riferire su
singole questioni.
7. Le deliberazioni, siglate dal relatore, sono sottoscritte dal presidente e dal segretario generale.
8. Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può
adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono
ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno.
9. La disposizione di cui al comma 8 non si applica in caso di esame dei ricorsi, di applicazione di sanzioni amministrative o di adozione
dei divieti di cui agli articoli 21, comma 3, e 31, comma 1, lettera l), della legge, di approvazione del documento programmatico di cui
all’articolo 24 e del rendiconto, ovvero allorché occorre disporre accertamenti relativamente ai trattamenti di cui all’articolo 4 della
legge.
Art. 6. Indennità e rimborsi
1. Al presidente compete un’indennità di funzione pari alla retribuzione (segue la parola “complessiva”, non ammessa al “Visto” della
Corte dei conti) in godimento al primo presidente della Corte di cassazione. L’indennità per i componenti è pari ai due terzi di quella
spettante al presidente.
2. Al presidente ed ai componenti compete, qualora non siano residenti a Roma, il rimborso delle spese di viaggio e soggiorno.
CAPO IL - L’UFFICIO
Art. 7. Il segretario generale
1. All’Ufficio è preposto il segretario generale che è nominato per un quadriennio. La nomina può essere rinnovata alla scadenza.
2. Il segretario generale sovrintende al funzionamento delle strutture e vigila affinché l’attività dell’Ufficio sia svolta secondo gli obiettivi,
i programmi, le priorità e le direttive generali per l’azione amministrativa e per la gestione definiti dal Garante. A tal fine:
a) verifica la completezza della documentazione predisposta per le riunioni del Garante e formula le osservazioni dell’Ufficio;
b) cura l’esecuzione delle deliberazioni del Garante;
c) coordina l’attività dei responsabili delle strutture e può sostituirsi ad essi in caso di inottemperanza alle direttive impartite; vigila
sull’osservanza delle norme e delle disposizioni di servizio ad esso applicabili; promuove riunioni periodiche del personale, ai fini di
una reciproca informativa circa il lavoro svolto;
d) esercita, secondo i criteri e i limiti fissati nel presente regolamento, i poteri di spesa nell’ambito degli stanziamenti di bilancio;
e) coordina la partecipazione del personale dell’Ufficio a gruppi di lavoro e a comitati, adotta gli atti opportuni per assicurare che
l’Ufficio operi, di regola, mediante strumenti informatici e telematici.
Art. 8. Organizzazione interna
1. (Precedono le parole “Con il regolamento interno”, non ammesse al “Visto” della Corte dei conti) il Garante definisce
l’organizzazione dell’Ufficio secondo i seguenti criteri:
a) determinare le competenze di ciascuna struttura sulla base della omogeneità e della organicità delle funzioni;
b) garantire la speditezza della azione amministrativa, evitando la frammentazione di procedure e favorendo il coordinamento delle
strutture;
c) organizzare le strutture secondo criteri di flessibilità per consentire sia lo svolgimento dei compiti permanenti, sia il perseguimento
di specifici obiettivi anche mediante la utilizzazione di professionalità esterne nei modi di cui all’articolo 33, comma 4, della legge.
2. (Comma non ammesso al “Visto” della Corte dei conti).
Art. 9.
(Articolo non ammesso al “ Visto” della Corte dei conti)
Art. 10. Custodia degli atti riservati
1. Con provvedimento del Garante è istituita una segreteria di sicurezza presso la quale sono conservati gli atti e i documenti acquisiti ai
sensi dell’articolo 32, commi 6 e 7, della legge. Alla segreteria è preposto il segretario generale e un numero di addetti all’Ufficio non
superiore a cinque unità, assegnati tenendo conto del profilo professionale e delle specifiche attitudini. L’accesso agli atti e ai
documenti relativi ai trattamenti di cui all’articolo 4, comma 1, lettera b), della legge è regolato dal Garante in conformità ai criteri
osservati per le segreterie di sicurezza presso le amministrazioni dello Stato.
Art. 11. Diritti di segreteria
1. Il Garante stabilisce con proprio provvedimento l’ammontare dei diritti di segreteria inerenti ai ricorsi, alle richieste di autorizzazione e
alle notificazioni, tenendo eventualmente conto anche dei relativi costi di gestione, nonchè le modalità del loro pagamento, tenendo
conto del disposto dell’articolo 12. Per la riscossione coattiva si applicano le disposizioni di cui al regio decreto 14 aprile 1910, n. 639,
e successive modificazioni ed integrazioni.
CAPO III - REGISTRO GENERALE DEI TRATTAMENTI
Art. 12. Notificazioni
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
Art. 13. Tenuta e consultazione del registro
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
CAPO IV - AUTORIZZAZIONI, ACCERTAMENTI E DIVIETI
Art. 14. Autorizzazioni
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
Art. 15. Accertamenti
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
Art. 16. Segnalazioni e divieti
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
CAPO V - DIRITTI DELL’INTERESSATO
Art. 17. Accesso ai dati personali
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
CAPO VI - RICORSI
Art. 18. Presentazione e contenuto del ricorso
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
Art. 19. Inammissibilità
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
Art. 20. Procedimento
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
CAPO VII - DISPOSIZIONI VARIE
Art. 21. Bollettino e quesiti
1. Il Garante promuove la pubblicazione di un Bollettino nel quale sono riportati, previa omissione, anche a richiesta dell’interessato,
delle relative generalità, i provvedimenti più significativi, gli atti e i documenti di cui si ritiene opportuna la pubblicità, e le risposte di
interesse generale date ai quesiti pervenuti;
2. Il Bollettino può essere edito anche attraverso strumenti telematici.
3. Il Garante cura la catalogazione dei provvedimenti di cui all’articolo 40 della legge, in particolare mediante il Bollettino, e ne agevola
la consultazione anche da parte degli uffici giudiziari.
Art. 22. Rappresentanza e difesa
1. Fermo restando quanto previsto dall’articolo 23 della Legge 24 novembre 1981, n. 689, la rappresentanza e la difesa in giudizio del
Garante è assunta dall’Avvocatura dello Stato ai sensi dell’articolo 43 del regio decreto 30 settembre 1933, n. 1611, e successive
modificazioni ed integrazioni, recante il testo unico delle leggi e delle norme giuridiche sulla rappresentanza e difesa in giudizio dello
Stato e sull’ordinamento dell’Avvocatura dello Stato.
CAPO VIII - GESTIONE DELLE SPESE
Art. 23. Contabilità speciale
1. Alle spese di funzionamento del Garante, ivi comprese quelle dell’Ufficio, si provvede mediante apertura di una contabilità speciale
presso la sezione di tesoreria provinciale dello Stato di Roma, intestata al Garante.
2. La contabilità speciale è alimentata mediante mandati, commutabili in quietanze di entrata della stessa contabilità speciale, tratti sul
fondo di cui all’articolo 33, comma 2, della legge.
3. Alla contabilità speciale di cui al comma 1 affluiscono anche le somme corrisposte a titolo di pagamento dei diritti di segreteria di cui
all’articolo 33, comma 3, della legge o a qualunque altro titolo in base alle leggi e ai regolamenti.
4. Il Garante può stipulare apposita convenzione con soggetti pubblici e privati, al fine di disciplinare, sulla base di criteri di semplicità e
di speditezza, le modalità di versamento delle somme di cui al comma 3.
Art. 24. Programmazione finanziaria
1. Le spese sono disposte sulla base di un documento programmatico che fissa, all’inizio di ogni esercizio, gli obiettivi da raggiungere e i
criteri di massima da osservare nello svolgimento dell’attività istituzionale.
Art. 25. Spese e pagamenti per beni e servizi
1. Salvo quanto disposto nei successivi articoli in materia di procedure contrattuali, le iniziative di spesa per la fornitura di beni e servizi
sono deliberate dal Garante o, sulla base dei criteri stabiliti dal Garante, dal presidente.
2. Alle spese di cui al comma 1 provvede il presidente o, per sua delega, il segretario generale, sulla base dei criteri stabiliti dal Garante.
Art. 26. Pagamenti
1. I pagamenti da imputarsi alla contabilità speciale sono disposti dal presidente o, per sua delega, dal segretario generale o da altro
dirigente.
2. Sugli ordini di pagamento emessi dal presidente, dal segretario generale o dal dirigente di cui al comma 1, è apposto, prima
dell’esecuzione, il visto del responsabile del servizio amministrazione e contabilità.
Art. 27. Conservazione delle somme
1. Le somme versate sulla contabilità speciale non erogate alla chiusura dell’esercizio finanziario possono essere conservate per effettuare
i pagamenti fino al termine dell’esercizio successivo. Alla chiusura di tale esercizio il Garante può individuare le somme relative a
programmi già deliberati che possono essere ulteriormente conservate per il biennio successivo.
Art. 28. Spese per i servizi in economia
1. Per le spese occorrenti all’affitto e alla manutenzione dei locali, all’acquisto e alla manutenzione di mobili, arredi e impianti tecnici e
per ogni altra spesa necessaria ai servizi dell’economato, il presidente può autorizzare l’economo-cassiere ad effettuare spese di
importo non superiore a lire dieci milioni, ai migliori prezzi correnti.
2. Gli assuntori e i fornitori devono prestare, se richiesti, idonea cauzione.
3. Per quanto non disposto dal presente regolamento, alle spese di cui al comma 1 si applicano, in quanto compatibili, le disposizioni del
regolamento per i servizi in economia della Presidenza del Consiglio dei Ministri, approvato con decreto del Presidente della
Repubblica 5 giugno 1985, n. 359, e successive modificazioni ed integrazioni.
Art. 29. Servizio di cassa interno
1. Il presidente può autorizzare, previa determinazione del Garante, l’istituzione di un servizio di cassa interno. L’incarico di economocassiere è conferito, su proposta del segretario generale, ad un dipendente in servizio presso il Garante, per un periodo non superiore a
due anni. L’incarico è rinnovabile per non più di tre volte consecutive.
2. L’economo-cassiere, posto funzionalmente alle dipendenze del segretario generale, può essere dotato all’inizio di ciascun anno
finanziario, con determinazione del presidente, di un fondo non superiore a lire venti milioni, reintegrabile durante l’esercizio, previa
presentazione del rendiconto delle somme già spese. Con tale fondo si può provvedere, di norma, al pagamento delle spese minute di
ufficio, delle spese per piccole riparazioni e manutenzione di mobili e locali, delle spese postali o di vetture nonchè delle spese per i
trasporti e per l’acquisto di carburante, giornali e pubblicazioni periodiche.
3. Possono gravare sul fondo di cui al comma 2 gli acconti per le spese di viaggio e di indennità di missione e delle spese di
rappresentanza, nonchè le spese per la pubblicazione di bandi ed altri avvisi sulle Gazzette Ufficiali, sulla stampa quotidiana e su altri
bollettini periodici, ove non sia possibile provvedervi tempestivamente con ordinativi di pagamento tratti sulla contabilità speciale.
4. Nessun pagamento può essere effettuato con il fondo a disposizione senza il visto del responsabile del servizio amministrazione e
contabilità.
Art. 30. Economo-cassiere
1. L’economo-cassiere è responsabile delle operazioni di cassa e accerta la regolarità formale delle relative determinazioni di pagamento;
è altresì responsabile del numerario e di ogni altro valore affidatogli.
2. L’economo-cassiere tiene:
a) un registro di cassa per le operazioni di entrata e di uscita dal quale risultino, giornalmente, il fondo di cassa iniziale, i pagamenti
effettuati nella giornata e il fondo di cassa esistente alla chiusura della cassa;
b) un registro dei valori e dei titoli in deposito.
lubrificante;
h) le spese per l’acquisto e la manutenzione di mobili ed arredi, per l’acquisto, il noleggio e la manutenzione di macchine per scrivere e
per calcolo, di apparecchiature telefoniche e televisive, di registrazione del suono e delle immagini, di fotoriproduzione e di strumenti
elettronici o comunque automatizzati;
i) le spese per l’acquisto di libri, giornali, riviste ed altre pubblicazioni, nonchè per la pubblicazione del Bollettino di cui all’articolo
21;
1) le spese relative all’organizzazione o alla partecipazione ad incontri di studio, convegni e seminari di aggiornamento professionale,
congressi, mostre ed altre manifestazioni;
m) le spese di trasporto, imballaggio e facchinaggio;
n) le spese casuali;
o) le 3. Il denaro e i valori sono custoditi in cassaforte. Non possono essere depositati in cassaforte denaro, titoli ed oggetti di valore
che non siano di pertinenza degli uffici.
Art. 31. Situazione di cassa
1. Il responsabile del servizio di amministrazione e contabilità provvede mensilmente alla ricognizione materiale del denaro e dei valori
custoditi nella cassa, sulla base della situazione di cassa compilata dall’economo-cassiere mediante apposito verbale.
Art. 32. Inventari
1. Dei beni acquistati o dati in uso al Garante sono redatti appositi inventari, nei quali i beni stessi sono classificati in conformità alle
disposizioni vigenti per le amministrazioni dello Stato.
Art. 33. Manutenzione dei beni
1. L’economo-cassiere svolge le funzioni di consegnatario e provvede direttamente alla manutenzione dei beni, degli arredamenti e dei
materiali in dotazione all’Ufficio; vigila, altresì, sulla regolare esecuzione dei servizi appaltati.
2. Ai fini di cui al comma 1, l’economo-cassiere tiene:
a) un registro d’inventario per i mobili e le attrezzature in dotazione all’Ufficio;
b) un registro di carico e scarico per il materiale di facile consumo.
Art. 34. Elenco indicativo delle spese di funzionamento
1. Sul fondo per le spese di funzionamento del Garante gravano le seguenti spese:
a) le indennità spettanti al presidente e ai componenti, nonchè al segretario generale;
b) gli stipendi, le indennità e gli altri assegni fissi spettanti al personale in servizio presso l’Ufficio;
c) i compensi per il lavoro straordinario e quelli incentivanti la produttività;
d) i compensi ai consulenti e alle società di consulenza, (seguono alcune parole non ammesse al “ Visto” della Corte dei conti);
e) le indennità e i rimborsi-spese per missioni svolte anche dal presidente e dai componenti nel territorio nazionale e all’estero;
f) le spese postali e per servizi telegrafici, telefonici e telematici, nonchè le altre spese inerenti al servizio di corrispondenza;
g) le spese di locazione, manutenzione, adattamento dei locali e dei relativi impianti, nonchè per l’acquisto, il noleggio e la
manutenzione di autoveicoli, carburante e spese di rappresentanza, da effettuarsi sulla base dei criteri e delle istruzioni impartite dal
Garante;
p) le spese per interventi assistenziali nei confronti del personale;
q) ogni altra spesa necessaria al funzionamento dell’Ufficio.
2. Per spese di rappresentanza, di cui al comma 1, lettera o), si intendono quelle finalizzate a soddisfare le esigenze del Garante e
dell’Ufficio di manifestarsi all’esterno e di intrattenere pubbliche relazioni con altri soggetti nell’ambito dei propri fini istituzionali.
Sono comunque da considerarsi tali:
a) piccoli doni, quali targhe, medaglie, libri, oggetti simbolici a personalità italiane e straniere o a componenti di delegazioni straniere
in visita al Garante, oppure in occasione di visite all’estero compiute da rappresentanti o delegazioni ufficiali del Garante e
dell’Ufficio;
b) omaggi floreali o necrologi;
c) consumazioni in occasione di incontri di lavoro con personalità estranee al Garante o in occasione di visite ufficiali presso il Garante
di componenti di missioni di studio italiani e stranieri.
3. Per le spese di cui al comma 1, relative all’acquisto di beni e servizi, non è richiesta l’autorizzazione del Provveditorato generale dello
Stato.
Art. 35. Rendiconto e controllo della gestione
1. Entro il 31 marzo di ciascun anno, il servizio amministrazione e contabilità predispone il rendiconto delle spese deliberate e di quelle
pagate, distinte per categorie, da sottoporre all’approvazione del Garante.
2. Il rendiconto, vistato dal segretario generale, articolato funzionalmente sulla base dei programmi degli obiettivi indicati negli articoli 2
e 24, in modo da consentire un controllo adeguato della gestione ed una corretta programmazione finanziaria dell’azione del Garante.
In caso di necessità, le direttive generali di cui all’articolo 2 possono essere integrate dal Garante anche in corso di esercizio.
3. Entro il 30 aprile, il rendiconto approvato, accompagnato da una relazione illustrativa del presidente, è trasmesso alla Corte dei conti
per il controllo consuntivo di cui all’articolo 33, comma 2, della legge, per il tramite della Ragioneria centrale presso il Ministero del
tesoro.
4. (Comma non ammesso al “Visto” della Corte de conti).
Art. 36. Norme contrattuali di carattere generale
1. Le disposizioni del presente regolamento in materia contrattuale si applicano limitatamente ai casi non disciplinati dalla normativa
comunitaria e da quella nazionale di recepimento.
2. Ai lavori, agli acquisti, alle alienazioni, alle permute, alle forniture, alle locazioni, comprese quelle finanziarie, ed ai servizi in genere si
provvede con contratti da stipularsi secondo le procedure e le norme contenute nel presente regolamento.
3. I contratti sono stipulati di regola nelle forme del diritto privato, anche mediante scambio di corrispondenza secondo l’uso del
commercio. La forma dei contratti è in ogni caso quella scritta.
4. Il Garante delibera ed approva i contratti. Tali poteri possono essere delegati al presidente e al segretario generale, nei limiti di valore
stabiliti dal Garante.
5. I contratti devono avere termine e durata certi e non possono comunque superare, anche con successive proroghe, i nove anni, salvi i
casi di assoluta necessità o convenienza da indicare nella relativa delibera di autorizzazione della spesa.
6. Salvo quanto diversamente disposto per legge, la valutazione della congruità dei prezzi è compiuta dal Garante o dai soggetti di cui al
comma 4 previa acquisizione del parere di una commissione costituita con provvedimento del Garante stesso. Per lavori di particolare
complessità tecnica, può essere acquisito il parere di organi tecnici delle amministrazioni dello Stato. Per i contratti di importo
compresi tra i 5 milioni e i 100 milioni di lire, il Garante o i soggetti di cui al comma 4 possono acquisire un parere sulla congruità dei
prezzi da parte di una commissione permanente composta prevalentemente da funzionari interni. Ai soli componenti esterni delle
anzidette commissioni, se presenti, possono essere corrisposti compensi determinati di volta in volta dal presidente in rapporto alla
durata e alla rilevanza delle prestazioni. Il parere di congruità non è richiesto per l’affidamento di studi, ricerche e consulenze di cui al
successivo articolo 45.
7. Nei contratti sono previste adeguate penalità per inadempienze e ritardi nell’esecuzione dei lavori e delle prestazioni convenute. Nei
contratti a durata pluriennale o ad esecuzione continuata o periodica, e salvo che nei casi disciplinati espressamente per legge, il
Garante può riservarsi la facoltà di rinegoziare i costi a proprio favore, al verificarsi di condizioni od eventi contrattualmente
predeterminati. Tale clausola è comunque prevista per l’ipotesi in cui l’originaria congruità dei prezzi, per qualsiasi motivo, venga
meno.
8. Fermo restando quanto previsto per legge, l’aggiudicazione o l’affidamento di lavori di particolare complessità sono effettuati dal
Garante sulla base di un progetto esecutivo recante la precisa indicazione del costo complessivo dei lavori. Il costo così definito può
essere aumentato solo per causa di forza maggiore o per motivate ragioni tecniche, sempre che detti eventi fossero imprevedibili all’atto
della progettazione. In tal caso, non possono essere effettuati lavori nuovi o diversi senza il preventivo assenso scritto da parte del
Garante o, previa delega nel rispetto dei limiti di cui al comma 4, da parte del presidente o del segretario generale. In ogni caso
l’eventuale incremento dei costi, compresa la revisione dei prezzi, è disciplinato dalle norme vigenti in materia per le amministrazioni
dello Stato.
9. Oltre alle anticipazioni consentite per legge, sono ammessi pagamenti in acconto in ragione delle parti di opere realizzate, dei beni
forniti e delle prestazioni eseguite. È vietata la corresponsione di interessi e provvigioni a favore dell’appaltatore o dei fornitori sulle
somme eventualmente anticipate per l’esecuzione del contratto.
10. Deve essere osservato il principio della non discriminazione in base alla nazionalità nei confronti dei fornitori appartenenti agli Stati
membri dell’Unione europea.
Art. 37. Procedure contrattuali
1. Ai lavori, alle forniture e ai servizi si provvede, di norma, mediante gare disciplinate dalle successive disposizioni di cui al presente
regolamento.
2. Le procedure contrattuali possono essere “aperte” (pubblico incanto), “ristrette” (licitazione privata e appalto concorso) e “negoziate”
(trattativa privata).
3. Salvo che il Garante ritenga più vantaggioso il ricorso alla procedura “aperta”, le gare si svolgono seguendo, di norma, la procedura
“ristretta”.
Art. 38. Procedura aperta
1. Nella procedura “aperta” (pubblico incanto) possono presentare offerta tutti i soggetti interessati. I concorrenti devono documentare i
requisiti di partecipazione richiesti dal bando di gara.
Art. 39. Procedura ristretta
1. Nella procedura “ristretta” (licitazione privata e appalto concorso) sono invitati a presentare la propria offerta solo i concorrenti che,
avendo presentato domanda di partecipazione alla gara, abbiano dimostrato la propria capacità tecnica, economica e finanziaria ad
effettuare la prestazione richiesta. Il bando può prevedere che alcuni requisiti siano comprovati mediante autocertificazione, fermo
restando l’obbligo di produrre la relativa documentazione prima dell’eventuale aggiudicazione.
2. La selezione dei concorrenti da invitare alla gara, nell’ambito di coloro che hanno presentato domanda di partecipazione, è effettuata da
una commissione nominata all’uopo dal presidente, o, su sua delega, dal segretario generale. All’esito della selezione è comunque
assicurata una partecipazione che consenta un’adeguata concorrenza.
3. Ai concorrenti selezionati è inviata la lettera di invito a presentare, entro termini specificati, la propria offerta tecnico-economica. Alla
lettera sono allegati il capitolato tecnico e lo schema di contratto che regola il rapporto tra il Garante e l’aggiudicatario.
4. Per lo svolgimento della procedura ristretta è necessaria la presenza di almeno due offerte valide.
Art. 40. Criteri di aggiudicazione
1. Nel bando di gara sono specificati i criteri di aggiudicazione seguiti dal Garante e che sono, alternativamente, i seguenti:
a) in caso di pubblico incanto, al prezzo più alto se si tratta di contratti attivi, ovvero al prezzo più basso se si tratta di contratti passivi;
b) in caso di licitazione privata, al prezzo più basso qualora il capitolato tecnico sia molto particolareggiato e, comunque, tale da
identificare inequivocabilmente la prestazione che il Garante intende ricevere;
c) in caso di licitazione privata e di appalto concorso, all’offerta più vantaggiosa sotto il profilo tecnico-economico, qualora nel
capitolato tecnico siano contenute solo prescrizioni di massima e si ritenga conveniente, quindi, avvalersi della collaborazione e
dell’apporto di competenza tecnica ed esperienza specifica da parte dell’offerente per l’elaborazione del progetto definitivo. In tal caso
nel bando di gara sono indicati, in ordine decrescente di importanza, gli elementi presi in considerazione per la valutazione
comparativa delle offerte.
Art. 41. Procedura negoziata
1. È ammessa la procedura negoziata (trattativa privata) nei seguenti casi:
a) quando, a seguito di esperimento di gara, per qualsiasi motivo, l’aggiudicazione non abbia avuto luogo;
b) per la fornitura di beni, la prestazione di servizi, ivi compresi quelli del settore informatico, e l’esecuzione di lavori che una sola
impresa può fornire od eseguire con i requisiti tecnici ed il grado di perfezione richiesti, nonchè quando l’acquisto riguardi beni la cui
produzione è garantita da privativa industriale;
c) per la locazione d’immobili;
d) quando l’urgenza, adeguatamente motivata, dei lavori, degli acquisti e delle forniture dei beni e servizi dovuta a circostanze
imprevedibili, o quando la particolare natura e le caratteristiche dell’oggetto e delle prestazioni anche in relazione ad esigenze di
sicurezza o di segretezza dei lavori, ovvero quando la necessità di far eseguire le prestazioni a spese e a rischio degli imprenditori
inadempienti, non consentano l’indugio della gara;
e) per lavori complementari non considerati nel contratto originario o che siano resi necessari da circostanze imprevedibili all’atto
dell’affidamento del contratto, a condizione che siano affidati allo stesso contraente, non siano tecnicamente o economicamente
separabili dalla prestazione principale, ovvero, benché separabili, siano strettamente necessari per il completamento dei lavori o della
fornitura originaria e il loro ammontare non superi il 50% dell’importo originario;
f) per l’affidamento al medesimo contraente di forniture destinate al completamento, al rinnovo parziale, o all’ampliamento di quelle
esistenti, qualora il ricorso ad altri fornitori costringa ad acquistare materiale di tecnica differente, il cui impiego o la cui manutenzione
comporti notevoli difficoltà o incompatibilità tecniche. La durata di tali contratti non può superare, come norma generale, i tre anni;
g) per l’acquisizione di beni o prodotti soggetti a prezzi amministrati o sorvegliati;
h) quando trattasi di contratti di importo non superiore a 200 milioni di lire, con esclusione dei casi in cui detti contratti costituiscano
ripetizione, frazionamento o completamento di precedenti lavori o forniture;
i) quando trattasi di contratti di assicurazione.
2. Nei casi indicati alle lettere a), d), h) ed i) del comma 1 devono essere interpellate più imprese o ditte, persone od enti e, comunque,
non inferiori a tre.
Art. 42. Transazioni
1. Per la definizione delle transazioni di importo superiore a lire 100 milioni il presidente richiede il parere preventivo dell’Avvocatura
generale dello Stato.
Art. 43. Collaudi e verifiche
1. Tutti i lavori e le forniture sono soggetti a collaudo secondo le norme stabilite dalle vigenti disposizioni e dal contratto, il quale può
prevedere collaudi parziali ed in corso d’opera.
2. Il collaudo è effettuato in forma individuale e collegiale dal personale addetto all’ufficio in possesso della competenza tecnica
necessaria, ovvero, qualora se ne ravvisi la necessità, da consulenti appositamente incaricati. La nomina dei collaudatori è effettuata dal
presidente per lavori e forniture d’importo superiore a lire 500 milioni ovvero in caso di nomina di consulenti, e dal segretario generale
negli altri casi.
3. Il collaudo non può essere effettuato da chi abbia progettato, diretto o sorvegliato i lavori, ovvero da chi abbia partecipato
all’aggiudicazione del contratto o alle relative forniture.
4. Nel caso in cui l’importo dei lavori o delle forniture non superi i 150 milioni di lire, l’atto formale di collaudo può essere sostituito da
un certificato di regolare esecuzione rilasciato dal responsabile del servizio o da altro dipendente appositamente incaricato.
5. Per l’acquisizione di beni e servizi diversi dai lavori e dalle forniture di cui ai commi precedenti, relativamente ai quali non sia
possibile procedere al collaudo secondo le modalità e i criteri ivi previsti, il funzionario cui viene effettuata la consegna procede ad una
verifica della regolarità e della corrispondenza dei beni e dei servizi acquistati con quelli ordinati. Di tale corrispondenza e regolarità è
redatta apposita attestazione.
Art. 44. Adeguamento limiti di somma
1. I limiti di spesa e di somma indicati nei precedenti articoli sono aggiornati annualmente, con deliberazione del Garante, in base alle
variazioni dell’indice ISTAT dei prezzi al consumo.
Art. 45. Studi, ricerche, consulenze e prestazioni professionali
1. In sede di applicazione dell’articolo 33, comma 4, della legge, possono essere stipulati anche contratti con liberi professionisti, con
dipendenti pubblici o con esperti di qualificata esperienza, nei limiti e alle condizioni previsti dalle rispettive norme di stato giuridico,
con persone giuridiche pubbliche e private e con associazioni. Tali contratti, della durata massima di un anno, possono essere rinnovati
per non più di tre volte.
2. I compensi per i consulenti iscritti ad albi professionali sono corrisposti, anche nei modi di cui all’articolo 28, comma 1, sulla base
delle tariffe minime stabilite per le relative categorie professionali, mentre per gli altri professionisti o per i dipendenti pubblici, i
compensi sono stabiliti di volta in volta dal segretario generale, in rapporto alla durata e alla rilevanza delle prestazioni, secondo i
criteri stabiliti nell’apposito tariffario preventivamente approvato dal Garante, da richiamarsi nel relativo disciplinare di incarico.
Art. 46. Norme transitorie e di rinvio
1. In deroga a quanto previsto nell’articolo 27, per gli esercizi finanziari relativi al 1997 e al 1998, le disposizioni del medesimo articolo
si applicano anche in riferimento alle somme versate sulla contabilità speciale, non deliberate dal Garante entro la chiusura di ciascun
esercizio finanziario, limitatamente alle spese di cui all’articolo 34, comma 1, lettere d), g), h), i), 1) ed m).
2. Per quanto non disciplinato dal presente regolamento si applicano le norme della legge e del regolamento per l’amministrazione del
patrimonio e per la contabilità generale dello Stato, in quanto compatibili.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È
fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
REGOLAMENTI NN. 1 E 2 /2007 (DELIBERAZIONI GARANTE 14/12/2007 NN. 65 E 66)
REGOLAMENTI SUI TERMINI E SULLE PROCEDURE PRESSO IL GARANTE
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 14 dicembre 2007
Regolamento
n.
1/2007. Procedure interne all'Autorita' aventi
rilevanza esterna, finalizzate allo svolgimento dei compiti demandati
al Garante. (Deliberazione n. 65).
(GU n. 7 del 9-1-2008)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 156, comma 3, lettera a) del Codice in materia di
protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), ai
sensi del quale il Garante, con propri regolamenti pubblicati nella
Gazzetta
Ufficiale
della
Repubblica
italiana,
definisce
l'organizzazione e il funzionamento dell'Ufficio, anche ai fini dello
svolgimento dei compiti assegnati al Garante dall'art. 154 del
medesimo Codice;
Considerato che fra tali compiti figurano, tra l'altro, quelli di
controllare se i trattamenti di dati personali sono effettuati nel
rispetto della disciplina applicabile, di esaminare i reclami e le
segnalazioni
e
di
provvedere
sui
ricorsi presentati dagli
interessati,
di
prescrivere
anche d'ufficio ai titolari del
trattamento le misure necessarie o opportune al fine di rendere il
trattamento conforme alle disposizioni vigenti, di vietare anche
d'ufficio, in tutto o in parte, il trattamento illecito o non
corretto dei dati o di disporne il blocco, nonche' di adottare gli
altri
provvedimenti
previsti
dalla disciplina applicabile al
trattamento dei dati personali (art. 154 del Codice);
Rilevato che il Codice disciplina diversi aspetti relativi alla
tutela degli interessati dinanzi al Garante, in particolare per
quanto riguarda la presentazione di ricorsi, reclami e segnalazioni,
di cui sono regolati vari profili concernenti il procedimento e le
istruttorie preliminari (articoli 141-151); rilevato che ulteriori
disposizioni di legge regolano altri profili relativi ai procedimenti
dinanzi al Garante, anche per quanto riguarda gli accertamenti
inerenti ai trattamenti da parte di Forze di polizia o in ambito
giudiziario o di difesa e sicurezza dello Stato (articoli da 46 a 58,
160, 173 e 175 del Codice), la disciplina generale del procedimento
amministrativo
(legge
7 agosto
1990,
n.
241
e successive
modificazioni) e l'applicazione di sanzioni amministrative (legge
24 novembre 1981, n. 689 e successive modificazioni);
Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il
funzionamento dell'Ufficio del Garante (deliberazione 28 giugno 2000,
n. 15, nella Gazzetta Ufficiale 13 luglio 2000, n. 162) e, in
particolare, il Capo III, relativo ai principi di trasparenza,
partecipazione
e
contraddittorio
cui
si
ispira l'attivita'
dell'ufficio del Garante, all'assegnazione degli affari ai relativi
dipartimenti e servizi, all'individuazione del responsabile del
procedimento e alle funzioni del relatore quando si provvede con
deliberazione del Garante;
Rilevata la necessita', dopo l'entrata in vigore del Codice e sulla
base dell'esperienza acquisita, di consolidare l'attuazione delle
disposizioni
di legge sullo svolgimento dei compiti demandati
all'Autorita' e sull'organizzazione e il funzionamento dell'ufficio,
con un atto regolamentare del Garante da adottare in base al predetto
art. 156, comma 3, lettera a); rilevata l'esigenza, in tale contesto,
di specificare e rendere note le procedure interne all'Autorita'
aventi rilevanza esterna, in particolare per quanto riguarda quelle
funzionali alla tutela degli interessati, avviate d'ufficio o su loro
istanza, nonche' l'esame di comunicazioni, richieste e notificazioni
inoltrate all'Autorita' dai titolari del trattamento; rilevata,
altresi', l'esigenza di verificare la perdurante attualita' e la
persistenza dei presupposti per adottare provvedimenti in ordine a
fatti oggetto di segnalazioni e reclami pervenuti all'Autorita' in
epoca antecedente all'insediamento dell'attuale collegio;
Visti gli atti d'ufficio;
Viste le proposte e le osservazioni dell'Ufficio formulate dal
segretario generale ai sensi dell'art. 15, comma 1 del predetto
regolamento n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Delibera:
E' adottato il regolamento n. 1/2007 concernente le procedure
interne all'Autorita' aventi rilevanza esterna, finalizzate allo
svolgimento dei compiti demandati al Garante per la protezione dei
dati personali. Il regolamento e' riportato in allegato alla presente
deliberazione, di cui costituisce parte integrante, e ne e' disposta
la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana,
ai sensi dell'art. 156, comma 3, lettera a), del Codice in materia di
protezione dei dati personali.
Roma, 14 dicembre 2007
ll presidente: Pizzetti
Il relatore: Pizzetti
Il segretario generale: Buttarelli
Allegato
REGOLAMENTO CONCERNENTE LE PROCEDURE INTERNE ALL'AUTORITA' AVENTI
RILEVANZA ESTERNA, FINALIZZATE ALLO SVOLGIMENTO DEI COMPITI DEMANDATI
AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI. (Articoli 154 e 156
decreto legislativo 30 giugno 2003, n. 196).
Capo I
Disposizioni generali
Art. 1.
D e f i n i z i o n i
1. Ai fini del presente regolamento si applicano le definizioni
contenute nell'art. 4 del Codice in materia di protezione dei dati
personali, approvato con decreto legislativo 30 giugno 2003, n. 196,
di seguito denominato «Codice».
Art. 2.
Oggetto del regolamento
1. Il
presente regolamento disciplina le procedure interne
all'Autorita' aventi rilevanza esterna, avviate su istanza di parte o
d'ufficio e finalizzate allo svolgimento dei compiti demandati al
Garante.
Art. 3.
Principi generali
1. Nell'esercizio
dei
compiti
demandati al Garante dalla
normativa vigente e dalla disciplina comunque rilevante in materia di
trattamento dei dati personali, in particolare per quanto riguarda il
controllo sulla liceita' e correttezza dei trattamenti, l'Autorita'
ispira la propria azione a principi di trasparenza, ragionevolezza,
proporzionalita'
e non discriminazione, realizzando l'interesse
pubblico connesso a ciascuna attivita' secondo criteri di buona
amministrazione, economicita' e adeguatezza e valorizzando l'utilizzo
di tecniche informatiche e della telematica. A tal fine, si tiene
conto anche della natura e della gravita' degli illeciti da accertare
in rapporto ai relativi effetti e all'entita' del pregiudizio che
essi
possono
comportare
per
uno o piu' interessati, della
probabilita' di comprovarne la sussistenza, nonche' dell'impiego di
risorse al tal fine necessario in rapporto anche alle entrate
disponibili in base al bilancio di previsione.
Art. 4.
P r o g r a m m a z i o n e
1. Il Garante, in applicazione dei principi e criteri di cui
all'art. 3, e ai sensi dell'art. 2, comma 1, lettere a) e c), del
proprio regolamento n. 1/2000, determina e aggiorna periodicamente
con cadenza almeno semestrale:
a) la programmazione dei lavori del collegio;
b) le linee di priorita' nell'esame di reclami e segnalazioni
da parte dell'ufficio;
c) la programmazione delle attivita' ispettive.
Art. 5.
Qualificazione e trattazione degli affari
1. Nell'assegnare gli affari al dipartimento, servizio o altra
unita' organizzativa competente ai sensi dell'art. 14 del regolamento
del Garante n. 1/2000, il segretario generale ne qualifica allo stato
degli atti la natura, individuando in particolare se si tratta di
ricorsi, reclami, segnalazioni, richieste di parere o quesiti.
2. Il
dirigente del dipartimento, servizio o altra unita'
organizzativa di primo livello cui e' assegnato l'affare puo'
qualificarlo diversamente a seguito della sua trattazione dandone
comunicazione
al
segretario generale; puo' anche segnalare a
quest'ultimo, anche per l'esigenza di una diversa qualificazione
dell'affare, l'opportunita' di una sua riassegnazione ad un diverso
dipartimento, servizio o altra unita' organizzativa.
3. Le assegnazioni e la qualificazione data agli affari sono
annotate
e
aggiornate
costantemente
nel sistema informativo
dell'Autorita'.
4. Il dipartimento, servizio o altra unita' organizzativa tratta
l'affare
assegnato rispettando quanto previsto dalla normativa
vigente, dal presente regolamento e da altri regolamenti approvati
dal
Garante.
Il
relativo
dirigente
da' tempestiva notizia
dell'eventuale mancato rispetto dei termini previsti, in particolare,
per l'istruttoria preliminare o per il procedimento amministrativo al
segretario
generale,
il quale impartisce disposizioni e puo'
sostituirsi nella trattazione ai sensi dell'art. 7 del regolamento n.
1/2000. Il segretario generale e' informato altresi' riguardo alle
segnalazioni per le quali e' disposta la messa agli atti ai sensi
dell'art. 13, comma 4, o non e' avviata l'istruttoria preliminare in
conformita' all'art. 14, comma 1, anche ai fini della menzione di
tali casi nelle informative al collegio di cui all'art. 19.
Art. 6.
Eventuale
avvio
di
un
procedimento
responsabile
amministrativo
e
relativo
1. Il dirigente, anche su proposta del funzionario cui assegna
l'affare, avvia un procedimento amministrativo nei casi in cui
d'ufficio o sulla base di un'istanza, e in conformita' al presente
regolamento, cio' e' necessario ai sensi della normativa vigente, e
cura che si proceda agli atti, alle comunicazioni e agli adempimenti
previsti nel medesimo procedimento.
2. Il responsabile del procedimento amministrativo avviato ai
sensi del comma 1 e' il dirigente o funzionario preposto all'unita'
organizzativa cui e' assegnato l'affare, oppure il funzionario da
essi
incaricato
di
trattarlo,
il quale cura gli atti, le
comunicazioni e gli adempimenti di cui al comma 1 anche ai sensi
dell'art. 14, comma 3, del regolamento n. 1/2000.
Capo II
Procedure concernenti la tutela dinanzi al garante
Sezione I
RICORSI
Art. 7.
P r o c e d i m e n t o
1. Il responsabile del procedimento amministrativo relativo a un
ricorso che non deve essere regolarizzato procede nei modi di cui
agli articoli 148, 149 e 150 del Codice e, quando il ricorso non e'
dichiarato inammissibile o manifestamente infondato, cura l'inoltro
al titolare del trattamento dell'invito di cui al medesimo art. 149,
comma 1, con il quale si comunica anche l'avvio del procedimento.
2. Concluso il procedimento, dopo aver inoltrato alle parti il
provvedimento del collegio di cui all'art. 150, comma 2, del Codice,
il
responsabile
del
procedimento verifica preliminarmente se
l'eventuale
adempimento che deriva a carico del titolare del
trattamento
dal
medesimo
provvedimento
risulta
effettuato
correttamente, promuovendo ove necessario le verifiche a tal fine
opportune; cura, su richiesta, l'apposizione su una copia del
provvedimento della formula esecutiva relativa alle spese e ai
diritti del procedimento, nonche' la riassegnazione dell'affare al
dipartimento,
servizio o altra unita' organizzativa quando al
provvedimento del collegio puo' conseguire l'avvio di un'autonoma
istruttoria preliminare o di un autonomo procedimento amministrativo.
3. Nei casi di cui all'art. 150, comma 5, del Codice, quando le
difficolta' o le contestazioni sorte riguardo all'esecuzione del
provvedimento non sono risolvibili agevolmente, il responsabile del
procedimento predispone lo schema dell'ulteriore provvedimento del
collegio.
Sezione II
RECLAMI
Art. 8.
R e c l a m i
1. Sono
qualificabili
come reclami gli atti che indicano
specificamente,
anche
sulla
base
del
modello appositamente
predisposto dall'Autorita', gli elementi previsti dall'art. 142,
commi 1 e 2, del Codice.
2. Il
Garante
determina,
in
via
generale, con propria
deliberazione, i casi in cui e' possibile la regolarizzazione del
reclamo.
3. Il reclamo che non contiene gli elementi di cui al comma 1, o
che
non e' regolarizzato, puo' essere esaminato a titolo di
segnalazione.
Art. 9.
Trattazione del reclamo
1. L'esame del reclamo, nel corso dell'istruttoria preliminare e
del successivo procedimento amministrativo eventualmente avviato ai
sensi dell'art. 2 della legge 7 agosto 1990, n. 241, e successive
modificazioni, nonche' dell'art. 6, comma 1, e' orientato a criteri
di semplicita' delle forme osservate, speditezza ed economicita',
anche in riferimento al contraddittorio.
Art. 10.
Istruttoria preliminare
1. Il
reclamo
regolarmente
presentato
e'
esaminato
dall'Autorita',
ma non comporta la necessaria adozione di un
provvedimento del collegio ai sensi dell'art. 143, comma 1, del
Codice.
2. Il dipartimento, servizio o altra unita' organizzativa cui il
reclamo e' assegnato avvia un'istruttoria preliminare entro tre mesi
dalla data del suo ricevimento da parte della competente unita'
organizzativa, fermo restando quanto previsto dall'art. 8.
3. Il
dipartimento,
servizio o altra unita' organizzativa
verifica, con un esame sommario, se sussistono idonei elementi in
ordine
alle
presunte
violazioni
e
alle
misure
richieste
dall'interessato. A tal fine, il dipartimento, servizio o altra
unita' organizzativa esamina la documentazione pervenuta e puo'
curare l'acquisizione di precisazioni e informazioni in ordine ai
fatti e alle circostanze cui si riferisce il reclamo, di regola
mediante richiesta di elementi sottoscritta dal dirigente competente
ovvero, nei casi in cui risulta necessario, mediante richiesta di
informazioni o di esibizione di documenti ai sensi dell'art. 157 del
Codice sottoscritta dal segretario generale.
4. Al fine di promuovere l'esame organico di questioni che
possono
rendere
opportuna
anche
l'adozione di un eventuale
provvedimento di carattere generale, l'istruttoria preliminare puo'
essere svolta contestualmente in relazione a piu' reclami aventi il
medesimo oggetto o che riguardano il medesimo titolare o responsabile
del trattamento, oppure trattamenti di dati tra loro correlati.
Art. 11.
Chiusura dell'istruttoria preliminare
1. Al termine dell'istruttoria preliminare, che deve essere
completata
entro
sei
mesi
dalla
presentazione
o avvenuta
regolarizzazione del reclamo, ovvero entro nove mesi nei casi
complessi che richiedono approfondimenti per motivate esigenze, il
dipartimento, servizio o altra unita' organizzativa conclude l'esame
del reclamo senza promuovere l'adozione di un provvedimento del
collegio ai sensi dell'art. 143, comma 1, del Codice, quando:
a) la questione prospettata con il reclamo non e' riconducibile
alla
protezione
dei
dati
personali o ai compiti demandati
all'Autorita';
b) non sono ravvisati, allo stato degli atti, gli estremi di
una violazione della disciplina rilevante in materia di protezione
dei dati personali o, comunque, per promuovere l'adozione del
predetto provvedimento del collegio;
c) la questione prospettata con il reclamo e' stata gia'
esaminata
dall'Autorita'
in
particolare con un provvedimento
collegiale di carattere generale, o puo' essere esaminata richiamando
provvedimenti
o questioni gia' affrontate dal Garante, oppure
esprimendo un prudente avviso su questioni che non presentano
particolare rilevanza sul piano generale;
d) pur essendo riscontrata una condotta non conforme alla
disciplina
applicabile,
non sono ravvisati i presupposti per
adottare, allo stato degli atti, un provvedimento prescrittivo o
inibitorio del collegio, in particolare quando la condotta e'
particolarmente risalente nel tempo o ha esaurito i suoi effetti,
oppure quando tali effetti sono stati rimossi o sono state fornite
idonee assicurazioni da parte del titolare del trattamento.
2. Nei casi di cui al comma 1 al proponente e' fornito comunque
un riscontro indicando succintamente le ragioni per le quali, ai
sensi
del
medesimo comma, non e' promossa l'adozione di un
provvedimento del collegio.
3. Quando l'esame del reclamo non si conclude ai sensi del
comma 1, il dipartimento, servizio o altra unita' organizzativa, al
termine
dell'istruttoria
preliminare,
avvia
il
procedimento
amministrativo
funzionale
all'adozione
di
un
provvedimento
collegiale, comunicandone alle parti l'avvio in conformita' alla
legge e ai regolamenti.
4. Delle determinazioni di cui ai commi 1 e 2 e' informato il
collegio nei modi di cui all'art. 19.
Art. 12.
Procedimento amministrativo conseguente al reclamo
1. Il responsabile del procedimento amministrativo cura gli
accertamenti necessari per la decisione sul reclamo e garantisce la
partecipazione delle parti al procedimento, se del caso sentendo
personalmente o a mezzo di procuratore speciale l'interessato, il
titolare o il responsabile del trattamento i quali possono comunque
presentare memorie e documenti; puo' curare, altresi', l'invio di un
invito ad eseguire spontaneamente le misure richieste con il reclamo,
procedendo secondo le forme di cui al comma 1 dell'art. 149 del
Codice.
2. Il responsabile del procedimento procede, in riferimento alle
formalita' da osservare, nel rispetto delle disposizioni della legge
7 agosto 1990, n. 241, e successive modificazioni, con particolare
riguardo agli avvisi alle parti, a comunicazioni interlocutorie
previste e al diritto di visione degli atti.
3. Il
termine
previsto
per
concludere
il
procedimento
amministrativo puo' essere sospeso per un periodo non superiore a
centoventi giorni nei casi particolarmente complessi, o in relazione
a eventuali accertamenti ispettivi, oppure in caso di riunione di
procedimenti ai sensi del comma 5.
4. Al termine del procedimento amministrativo, il responsabile
cura che l'esame del reclamo sia concluso nei modi di cui all'art.
11, comma 1, quando nuovi elementi sopravvenuti nel corso del
medesimo
procedimento
evidenziano,
parimenti,
la
manifesta
infondatezza del reclamo o la certa insussistenza dei presupposti per
adottare un provvedimento del collegio.
5. L'eventuale riunione o separazione di procedimenti e' disposta
dal dirigente del dipartimento, servizio o unita' organizzativa,
anche su proposta del responsabile del procedimento, in relazione a
reclami aventi o meno il medesimo oggetto o che riguardano o meno il
medesimo titolare o responsabile del trattamento, oppure trattamenti
di dati tra loro direttamente correlati. Per i procedimenti di
pertinenza di piu' unita' organizzative, la riunione o separazione e'
disposta dal segretario generale. La riunione o separazione e'
comunicata al relatore se gia' designato.
6. Fuori dei casi di cui al comma 4, il responsabile del
procedimento cura la predisposizione del provvedimento del collegio,
di cui risulta redattore, e il dirigente dell'unita' organizzativa
procede poi nei modi di cui all'art. 15 del regolamento del Garante
n. 1/2000. Il collegio provvede con propria deliberazione nel
rispetto di quanto previsto dagli articoli 143 e 154 del Codice,
anche quando rileva l'inammissibilita' o l'infondatezza del reclamo.
Sezione III
SEGNALAZIONI
Art. 13.
Esame delle segnalazioni
1. Sono qualificabili come segnalazioni gli atti che ai sensi
dell'art. 141, comma 1, lettera b), del Codice, e in quanto diversi
dalle
richieste
di parere e dai quesiti, non presentano le
caratteristiche
di
cui all'art. 8, comma 1, e sono volti a
sollecitare un controllo da parte del Garante sulla disciplina
rilevante in materia di trattamento dei dati personali.
2. La segnalazione e' presentata da un interessato identificato.
L'Autorita'
puo'
utilizzare le notizie indicate in eventuali
segnalazioni che non provengono da un interessato identificato,
qualora ritenga di dover avviare controlli su casi nei quali ravvisa
il
rischio
di
seri
pregiudizi
o
di ritorsioni ai danni
dell'interessato, oppure ricorre comunque un caso di particolare
gravita'.
3. La segnalazione e' esaminata dall'Autorita', ma non comporta
la necessaria adozione di un provvedimento del collegio.
4. Il dipartimento, servizio o altra unita' organizzativa puo',
anche tenuto conto di quanto previsto dall'art. 3, concludere l'esame
della
segnalazione
disponendone
la messa agli atti, nonche'
l'eventuale inoltro ad altro soggetto pubblico competente, quando
ricorre manifestamente uno dei presupposti di cui all'art. 11,
comma 1, oppure in caso di segnalazioni del tutto generiche. Si
considerano tali le segnalazioni che si limitano a imputare a un
soggetto fatti del tutto privi di elementi circostanziati o che non
contengono elementi tali da consentire un'agevole individuazione del
titolare del trattamento.
5. La trattazione delle segnalazioni non richiede il versamento
di diritti di segreteria.
6. Delle determinazioni di cui ai commi 2 e 4 e' informato il
collegio nei modi di cui all'art. 19.
Art. 14.
Istruttoria preliminare ed eventuale procedimento amministrativo
1. Fermi restando i casi in cui la segnalazione e' messa agli
atti ai sensi dell'art. 13, comma 4, il dipartimento, servizio o
altra unita' organizzativa puo' avviare un'istruttoria preliminare
entro il termine di tre mesi dalla data del suo ricevimento da parte
della competente unita' organizzativa.
2. Se
e'
avviata
un'istruttoria preliminare e nel corso
dell'eventuale
procedimento
amministrativo
si
osservano
le
disposizioni per i reclami di cui agli articoli da 9 a 12, anche per
quanto riguarda l'informativa al collegio ai sensi dell'art. 19, e al
segnalante puo' essere fornito un riscontro. L'eventuale procedimento
e' orientato in ogni caso al principio della massima semplificazione
anche per cio' che riguarda i rapporti con le parti.
Capo III
Attivita' di controllo e sanzionatoria
Art. 15.
Controlli e provvedimenti adottati senza istanza di parte
1. Nell'esercizio
dei
compiti
di
controllo
o
comunque
esercitabili dal Garante anche per legge, l'Autorita', valutati gli
elementi in suo possesso e anche in assenza di ricorso, reclamo o
segnalazione, puo' avviare d'ufficio un'istruttoria preliminare per
verificare la sussistenza di idonei elementi in ordine a possibili
violazioni della disciplina rilevante in materia di protezione dei
dati personali.
2. Per l'istruttoria preliminare e nel corso dell'eventuale
procedimento amministrativo si osservano le disposizioni di cui agli
articoli da 9 a 12 anche per quanto riguarda l'informativa al
collegio
ai
sensi
dell'art. 19. L'apertura del procedimento
amministrativo e' comunicata al collegio preventivamente.
Art. 16.
Attivita' ispettive e applicazione di sanzioni
1. Il
dipartimento
attivita'
ispettive
e
sanzioni cura
l'istruttoria preliminare relativa ai controlli in loco effettuati
d'ufficio ai sensi degli articoli 157 e 158 del Codice nel rispetto
della programmazione dell'attivita' ispettiva disposta dal collegio
ai
sensi
dell'art.
4,
comma 1,
lettera c). Effettuati gli
accertamenti relativi agli elementi idonei in ordine alle presunte
violazioni, il dipartimento inoltra gli atti al segretario generale
per l'assegnazione alla competente unita' organizzativa ai sensi
dell'art. 14 del regolamento del Garante n. 1/2000, per il seguito di
trattazione
che
concerne profili diversi dall'applicazione di
sanzioni per i quali, invece, procede direttamente.
2. Il dipartimento attivita' ispettive e sanzioni cura, altresi',
i controlli ai sensi degli articoli 157 e 158 del Codice nell'ambito
delle istruttorie preliminari e dei procedimenti amministrativi
comunque avviati presso altre unita' organizzative, cui e' restituito
l'esito per la successiva trattazione.
3. Il dipartimento attivita' ispettive e sanzioni, quando non
cura l'archiviazione degli atti relativi alla presunta violazione
amministrativa,
predispone
la
contestazione
delle violazioni
amministrative di competenza del Garante, in conformita' alla legge
24 novembre 1981, n. 689 e successive modificazioni e al relativo
termine prescritto.
4. Fuori dei casi in cui sono effettuate dal personale operante
in sede di controllo, le violazioni amministrative sono contestate
con atto sottoscritto dal dirigente del dipartimento attivita'
ispettive e sanzioni o, nei casi di maggiore gravita' o che rendono
facoltativo applicare una sanzione accessoria ai sensi dell'art. 165
del Codice, dal segretario generale.
5. Quando non e' effettuato il pagamento in misura ridotta, il
dirigente
del
dipartimento attivita' ispettive e sanzioni e,
rispettivamente, il segretario generale nei casi previsti dal comma 4
dispongono in conformita' alla legge l'eventuale archiviazione degli
atti a seguito di idonee deduzioni difensive.
6. L'ordinanza-ingiunzione e' adottata dal collegio nei casi in
cui la contestazione e' stata effettuata dal segretario generale e da
quest'ultimo nei casi residui.
7. Delle attivita' svolte ai sensi del presente articolo e'
informato il collegio anche nei modi di cui all'art. 19.
Capo IV
Altre attivita' dell'autorita'
Art. 17.
Altri procedimenti
1. Nei casi di cui al comma 2, il responsabile del procedimento
valuta la completezza degli elementi istruttori, verifica l'esistenza
dei presupposti per le decisioni da parte dell'Autorita' e cura la
predisposizione del provvedimento del collegio, di cui risulta
redattore, in tempo utile per la sua adozione nel termine previsto.
Il dirigente dell'unita' organizzativa competente procede poi nei
modi di cui all'art. 15 del regolamento del Garante n. 1/2000.
2. Si procede nei modi di cui al comma 1 nei casi in cui il
collegio deve provvedere con propria deliberazione, anche d'ufficio,
riguardo a:
a) casi di informativa semplificata all'interessato previsti
dalla disciplina in materia di protezione dei dati personali;
b) casi di informativa all'interessato che comporterebbe un
impiego
di
mezzi
che
il
Garante
dichiari
manifestamente
sproporzionati o che si riveli impossibile;
c) verifiche preliminari per i trattamenti che presentano
rischi specifici;
d) trattamenti consentiti per perseguire un legittimo interesse
del titolare o di un terzo;
e) autorizzazioni
al
trattamento
di
dati
sensibili o
giudiziari;
f) altre autorizzazioni, anche relative al trasferimento di
dati personali all'estero;
g) trattamenti oggetto di notificazione al Garante;
h) obblighi di comunicazione al Garante da parte di soggetti
pubblici;
i) pareri previsti dalla legge;
j) ogni altro caso in cui, fuori dalle ipotesi di cui al
Capo II del presente regolamento, e' prevista l'adozione di un
provvedimento del collegio.
Art. 18.
Quesiti e richieste di parere
1. Con riferimento al compito di curare la conoscenza tra il
pubblico della disciplina rilevante in materia di trattamento di dati
personali e delle relative finalita', e subordinatamente alle linee
di priorita' di cui all'art. 4, comma 1, lettera b), il dipartimento,
servizio o altra unita' organizzativa competente puo', anche tenuto
conto di quanto previsto dall'art. 3, fornire riscontro a quesiti,
oppure a richieste di parere diverse da quelle per le quali provvede
il collegio anche ai sensi dell'art. 154, comma 4, del Codice, quando
riguardano questioni di specifico interesse per la protezione dei
dati personali o sono posti da interessati che versano in situazioni
particolari meritevoli di adeguata considerazione.
2. L'ufficio relazioni con il pubblico, cui sono assegnati gli
altri quesiti o richieste di parere cui in base a quanto previsto nel
comma 1 non puo' essere fornita una risposta analitica, informa per
quanto possibile i soggetti richiedenti di tale circostanza, o
fornisce loro eventuali brevi informazioni anche su iniziative e
provvedimenti gia' assunti dall'Autorita'.
Art. 19.
Rapporto informativo sullo stato della trattazione degli affari
1. Il segretario generale cura per il collegio, con cadenza
almeno
bimestrale
e
avvalendosi
del
sistema
informativo
dell'Autorita', la predisposizione di un rapporto informativo sullo
stato degli affari di cui ai capi II, III e IV trattati dalle unita'
organizzative, indicando le tipologie di determinazioni da esse
adottate o in via di adozione nei casi individuati, nonche' il
relativo oggetto, anche avvalendosi di codici numerici.
Capo V
Disposizioni transitorie e finali
Art. 20.
Applicazione del regolamento a trattazioni in corso
1. Le disposizioni di cui alle sezioni II e III del capo II si
applicano anche alle segnalazioni e reclami in fase di esame, fuori
dei casi di cui all'art. 21, commi 1 e 4. A tal fine, l'eventuale
regolarizzazione di un reclamo ai sensi dell'art. 8, comma 2, puo'
essere effettuata ai sensi della medesima disposizione entro trenta
giorni dalla data di pubblicazione del provvedimento di cui al
medesimo art. 8, comma 2.
Art. 21.
Trattazione di affari pregressi
1. Entro il termine di sessanta giorni dalla data di entrata in
vigore del presente regolamento, i soggetti che dimostrano il loro
attuale interesse possono presentare all'Autorita' motivata richiesta
di
trattazione dei reclami e segnalazioni pervenuti entro il
30 aprile 2005.
2. La richiesta di cui al comma 1 non riguarda i reclami e le
segnalazioni di cui si e' gia' esaurito l'esame, o di cui l'Autorita'
ha gia' esaminato nel corso del 2006 un motivato sollecito o una
richiesta di trattazione, o per i quali l'Autorita' e' a conoscenza,
anche a seguito di sua denuncia, che sui fatti oggetto di reclamo o
segnalazione e' in corso un procedimento penale.
3. Entro quindici giorni dalla data di entrata in vigore del
presente regolamento l'Autorita' provvede a dare notizia di quanto
previsto dai commi 1 e 2 mediante avviso pubblicato nel proprio sito
Internet e trasmesso, altresi', all'Ufficio pubblicazioni leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana.
4. In caso di mancata presentazione di un'idonea richiesta di
trattazione ai sensi del comma 1, e salvo quanto previsto dal
comma 2, il reclamo o segnalazione e' improcedibile.
Art. 22.
Modifica del regolamento n. 1/2000
1. Nell'art. 14, comma 3, del regolamento del Garante n. 1/2000
approvato con deliberazione 28 giugno 2000, n. 15, sono soppresse le
parole: «preliminare e».
Art. 23.
Entrata in vigore
1. Il presente regolamento entra in vigore il quindicesimo giorno
successivo a quello della sua pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana.
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 14 dicembre 2007
Regolamento n. 2/2007. Individuazione dei termini e delle unita'
organizzative responsabili dei procedimenti amministrativi presso il
Garante per la protezione dei dati personali. (Deliberazione n. 66).
(GU n. 7 del 9-1-2008)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 2, comma 2, della legge 7 agosto 1990, n. 241, e
successive modificazioni apportate da ultimo con legge 11 febbraio
2005, n. 15, ai sensi del quale le pubbliche amministrazioni
determinano per ciascun tipo di procedimento, in quanto non sia gia'
direttamente disposto per legge o per regolamento, il termine entro
cui il procedimento deve concludersi;
Visto l'art. 4 della medesima legge 7 agosto 1990, n. 241 ai sensi
del quale le pubbliche amministrazioni, se non e' gia' stabilito
direttamente per legge o per regolamento, determinano per ciascun
tipo di procedimento relativo ad atti di loro competenza l'unita'
organizzativa responsabile del procedimento;
Rilevato che diversi termini di procedimenti amministrativi sono
specificamente determinati da norme di legge o di regolamento, anche
in materia di contratti pubblici;
Visto l'art. 156, comma 3, lettera a) del Codice in materia di
protezione dei dati personali (decreto legislativo 30 giugno 2003, n.
196),
ai sensi del quale il Garante, con propri regolamenti
pubblicati
nella Gazzetta Ufficiale della Repubblica italiana,
definisce l'organizzazione e il funzionamento dell'Ufficio anche ai
fini dello svolgimento dei compiti previsti dall'art. 154 del
medesimo Codice;
Visto il regolamento del Garante n. 1/2000 sull'organizzazione e il
funzionamento dell'Ufficio del Garante (deliberazione 28 giugno 2000,
n. 15, nella Gazzetta Ufficiale 13 luglio 2000, n. 162) e, in
particolare,
l'art.
13,
comma 2,
che prevede l'adozione di
disposizioni
sulla
durata
dei procedimenti amministrativi di
competenza dell'Autorita';
Vista
la
ricognizione
dei
procedimenti
di
competenza
dell'Autorita', delle unita' organizzative in cui e' articolato
l'ufficio del Garante e delle relative competenze;
Visti gli atti d'ufficio;
Viste le proposte e le osservazioni dell'Ufficio formulate dal
segretario generale ai sensi dell'art. 15, comma 1 del predetto
regolamento n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Delibera:
E' adottato il regolamento n. 2/2007, concernente l'individuazione
dei
termini
e
delle
unita'
organizzative responsabili dei
procedimenti amministrativi presso il Garante per la protezione dei
dati personali, riportato in allegato alla presente deliberazione di
cui
costituisce
parte
integrante
e di cui e' disposta la
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, ai
sensi dell'art. 156, comma 3, lettera a), del Codice in materia di
protezione dei dati personali.
Roma, 14 dicembre 2007
Il presidente: Pizzetti
Il relatore: Pizzetti
Il segretario generale: Buttarelli
Allegato
REGOLAMENTO CONCERNENTE L'INDIVIDUAZIONE DEI TERMINI E DELLE UNITA'
ORGANIZZATIVE RESPONSABILI DEI PROCEDIMENTI AMMINISTRATIVI PRESSO IL
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI. (Articoli 2, comma 2, e
4 legge 7 agosto 1990, n. 241; art. 156 decreto legislativo 30 giugno
2003, n. 196).
Art. 1.
D e f i n i z i o n i
1. Ai fini del presente regolamento si applicano le definizioni
elencate nell'art. 4 del Codice in materia di protezione dei dati
personali, approvato con decreto legislativo 30 giugno 2003, n. 196,
di seguito denominato «Codice».
Art. 2.
Oggetto del regolamento
1. Il presente regolamento disciplina la durata dei procedimenti
amministrativi presso il Garante e individua le unita' organizzative
responsabili di tali procedimenti.
Art. 3.
Ambito di applicazione
1. Il
presente
regolamento si applica ai procedimenti di
competenza del Garante, conseguenti a una iniziativa di parte o
avviati d'ufficio, e alle fasi procedimentali svolte presso il
Garante in procedimenti di competenza di altri soggetti pubblici,
indicati nelle allegate tabelle A e B che costituiscono parte
integrante del presente regolamento.
2. Nella tabella A e' riportato il termine entro il quale ciascun
procedimento o fase procedimentale deve essere concluso per legge,
nonche' l'unita' organizzativa competente e la fonte normativa di
riferimento; nella tabella B e' individuato il termine entro il quale
ciascun procedimento deve essere comunque concluso, nonche' l'unita'
organizzativa competente e la fonte normativa di riferimento.
3. Per i procedimenti volti all'emanazione di regolamenti il
termine e l'unita' organizzativa competente sono individuati nei
singoli casi.
4. Se non e' altrove diversamente previsto, per i procedimenti di
modifica di provvedimenti gia' adottati si applica lo stesso termine
previsto per il procedimento principale.
5. Eventuali altri procedimenti amministrativi avviati e non
indicati nella tabella B si concludono nel termine stabilito da altra
fonte normativa o, in mancanza, in quello di novanta giorni ai sensi
dell'art. 2, comma 3, della legge 7 agosto 1990, n. 241 e successive
modificazioni.
Art. 4.
Decorrenza del termine per i procedimenti di competenza del Garante
1. Per i procedimenti amministrativi avviati d'ufficio e per i
procedimenti amministrativi relativi alle segnalazioni e ai reclami
di cui all'art. 141, comma 1, lettere a) e b), del Codice, il termine
decorre dalla data in cui il procedimento e' avviato in conformita'
al regolamento del Garante n. 1/2007.
2. Salvo diversa indicazione contenuta nelle tabelle allegate,
per ogni altro procedimento amministrativo di competenza del Garante
il
termine
decorre dalla data di ricevimento della domanda,
richiesta, comunicazione o del diverso atto di iniziativa, comunque
denominato, da parte del dipartimento o altra unita' organizzativa
competente.
Art. 5.
Decorrenza del termine per le fasi procedimentali
1. Per
le
fasi
competenza
di altri
ricevimento dell'atto
che procede.
procedimentali relative a procedimenti di
soggetti pubblici il termine decorre dal
di impulso proveniente dal soggetto pubblico
Art. 6.
Sospensione del decorso dei termini
1. Il
decorso
dei
termini
e' sospeso dal 1° agosto al
15 settembre di ciascun anno e riprende a decorrere dalla fine del
periodo di sospensione, salvo i casi in cui sussiste per taluno un
pregiudizio imminente e irreparabile. Se il decorso ha inizio durante
tale periodo, l'inizio stesso e' differito alla fine del periodo
medesimo.
2. Oltre che nelle ipotesi previste dall'art. 12, comma 3, del
regolamento n. 1/2007 per i casi complessi, o di accertamenti
ispettivi o di riunione di procedimenti, il decorso dei termini e'
sospeso, altresi', in ogni caso in cui una fonte normativa prevede la
sospensione del procedimento amministrativo o del termine per una
decisione da parte dell'Autorita'. La sospensione opera per il
periodo di tempo espressamente previsto e il termine riprende a
decorrere dalla fine del periodo di sospensione.
3. Il decorso dei termini e', inoltre, sospeso per il tempo in
cui documenti necessari per la trattazione del procedimento sono
indisponibili
per
effetto
di
provvedimenti
dell'autorita'
giudiziaria.
4. Il responsabile del procedimento amministrativo informa le
parti interessate della data di inizio o di cessazione della
sospensione.
Art. 7.
Attivita' istruttoria
1. Salvo
quanto
previsto
da
specifiche
norme
di
legge o di
regolamento, se il richiedente e' invitato dall'Autorita' a fornire
notizie, integrazioni o precisazioni o a esibire documenti necessari,
i
termini previsti nelle tabelle A e B per provvedere sulla
richiesta, istanza o diverso atto di iniziativa comunque denominato
sono sospesi e decorrono nuovamente dalla data di scadenza del
termine fissato per l'adempimento richiesto.
Art. 8.
Pareri obbligatori
1. Ove debba essere sentito obbligatoriamente un organo in
funzione consultiva e il parere non intervenga entro il termine
stabilito dalla legge o da regolamento o, se mancante, dall'art. 16,
commi 1 e 4, della legge 7 agosto 1990, n. 241, il responsabile del
procedimento
amministrativo
puo'
procedere
indipendentemente
dall'espressione del parere. Qualora ritenga di non avvalersi di tale
facolta', il responsabile del procedimento amministrativo cura la
comunicazione
alle
parti
interessate della determinazione di
attendere il parere per un ulteriore periodo di tempo definito, che
non e' computato ai fini del termine finale del procedimento e che
non
puo'
essere
superiore
a quarantacinque giorni. Decorso
inutilmente
tale
ulteriore
periodo,
l'Autorita'
procede
indipendentemente dall'acquisizione del parere.
2. Nell'ipotesi di cui all'art. 16, comma 3, della legge 7 agosto
1990, n. 241 l'Autorita', decorso inutilmente l'ulteriore periodo di
cui
al
comma 1
del
presente
articolo, comunica all'organo
interpellato per il parere l'impossibilita' di proseguire i propri
lavori, informandone le parti interessate.
3. Quando,
per
legge
o
regolamento,
l'adozione
di un
provvedimento deve essere preceduta dall'acquisizione di valutazioni
tecniche di organi o enti appositi e questi non provvedono e non
rappresentano esigenze istruttorie ai sensi e nei termini di cui
all'art. 17 della legge 7 agosto 1990, n. 241, il responsabile del
procedimento
amministrativo
cura
la richiesta delle suddette
valutazioni tecniche agli altri organismi di cui al comma 1 del
medesimo art. 17 e partecipa alle parti interessate l'intervenuta
richiesta. In tali casi, il tempo occorrente per l'acquisizione delle
valutazioni tecniche non e' computato ai fini del termine finale del
procedimento.
4. Nell'ipotesi di cui al comma 2, dell'art. 17 della legge
7 agosto 1990, n. 241 si applica la disposizione di cui al comma 2
del presente articolo.
Art. 9.
Pareri facoltativi
1. Quando, in conformita' alla legge, risulta opportuno acquisire
un parere non obbligatorio da parte del Consiglio di Stato o
dell'Avvocatura dello Stato, il responsabile del procedimento ne da'
notizia alle parti interessate, riassumendone le ragioni. In tal
caso, il periodo di tempo occorrente per l'acquisizione del parere, a
decorrere dalla richiesta sino alla sua ricezione, non e' computato
nel termine finale del procedimento, se il parere medesimo e' reso
nel termine di cui all'art. 16 della legge 7 agosto 1990, n. 241.
L'Autorita' procede prescindendo dal parere, se questo non e' reso
nei termini suddetti.
2. L'acquisizione in via facoltativa di pareri e di valutazioni
tecniche di organi, amministrazioni o enti, fuori del caso di cui al
comma 1, ha luogo rispettando il termine finale del procedimento.
Art. 10.
Fasi procedimentali presso altre autorita' o amministrazioni
1. Fuori dei casi di cui agli articoli 8 e 9, se nel corso del
procedimento amministrativo talune fasi sono di competenza di altri
soggetti pubblici, il termine finale del procedimento deve intendersi
non comprensivo dei periodi di tempo necessari per espletare le fasi
stesse.
Art. 11.
Conclusione dei procedimenti
1. Nei casi di cui alla tabella A, i termini per la conclusione
dei procedimenti amministrativi o delle fasi procedimentali si
riferiscono alla data di adozione del provvedimento del collegio.
2. Nei casi di cui alla tabella B, i termini per la conclusione
dei
procedimenti
si
riferiscono
alla data in cui l'unita'
organizzativa competente conclude l'esame dell'affare. Quando il
procedimento e' definito con provvedimento del collegio, il termine
per l'adozione del medesimo provvedimento e' non superiore a sessanta
giorni dalla data di ricezione degli atti in conformita' all'art. 15
del regolamento del Garante n. 1/2000.
Art. 12.
Entrata in vigore
1. Il presente regolamento entra in vigore il quindicesimo giorno
successivo a quello della sua pubblicazione nella Gazzetta Ufficiale
della Repubblica italiana.
2. I termini indicati nella tabella B si osservano a decorrere
dal 1° giugno 2008.
Tabella A
RICOGNIZIONE DEI TERMINI PER I PROCEDIMENTI DIRETTAMENTE PREVISTI PER
LEGGE
1) Termini previsti nel codice in materia di protezione dei dati
personali (Decreto legislativo 30 giugno 2003, n. 196):
=====================================================================
Procedimento e
|
| Unita' organizzativa
normativa
|
Termine
|
competente
=====================================================================
|Quarantacinque giorni |
|dal ricevimento della |Dipartimento realta'
|richiesta ovvero, se |economiche e produttive
|il richiedente e'
|Dipartimento liberta'
|invitato a fornire
|pubbliche e sanita'
Autorizzazione al
|informazioni o ad
|Dipartimento
trattamento di dati
|esibire documenti,
|comunicazioni e reti
sensibili o genetici -|dalla data di scadenza|telematiche Unita'
articoli 26, comma 2, |del termine fissato
|attivita' forense
41 (76, 90, 107 e 110,|per l'adempimento
|ordini professionali e
comma 1)
|richiesto
|pubblici servizi
--------------------------------------------------------------------|Quarantacinque giorni |
|dal ricevimento della |Dipartimento realta'
|richiesta ovvero, se |economiche e produttive
|il richiedente e'
|Dipartimento liberta'
|invitato a fornire
|pubbliche e sanita'
|informazioni o ad
|Dipartimento
Autorizzazione al
|esibire documenti,
|comunicazioni e reti
trattamento di dati
|dalla data di scadenza|telematiche Unita'
giudiziari |del termine fissato
|attivita' forense
articoli 21, comma 1, |per l'adempimento
|ordini professionali e
27 e 41
|richiesto
|pubblici servizi
--------------------------------------------------------------------Esame di comunicazioni|
|
al Garante da parte di|
|
soggetti pubblici |Quarantacinque giorni |
DECRETO LEGISLATIVO 08/05/1998, N.135
Privacy e dichiarazioni fiscali
Art. 1. Disposizione transitoria
Abrogato dall’art. 183 del d.lgs.vo n. 196/2003
Art. 2. Trattamento dei dati risultanti dalla dichiarazione dei redditi e dell’imposta sul valore aggiunto
1. Dopo l’articolo 12 del decreto del Presidente della Repubblica 29 settembre 1973, n. 600, e successive modificazioni ed integrazioni, è
inserito il seguente:
“Art. 12-bis (Trattamento dei dati risultanti dalla dichiarazione dei redditi e dell’imposta sul valore aggiunto).- 1. I sostituti d’imposta
ed i soggetti comunque incaricati ai sensi dell’articolo 12 di trasmettere la dichiarazione all’Amministrazione finanziaria, possono
trattare i dati connessi alle dichiarazioni per le sole finalità di prestazione del servizio e per il tempo a ciò necessario, adottando
specifiche misure individuate nelle convenzioni di cui al comma 11 del predetto articolo 12, volte ad assicurare la riservatezza e la
sicurezza delle informazioni anche con riferimento ai soggetti da essi designati come responsabili o incaricati ai sensi della Legge 31
dicembre 1996, n. 675. Con il decreto di cui al comma 11 dell’articolo 12 sono individuate, altresì, le modalità per inserire nei modelli
di dichiarazione l’informativa all’interessato e l’espressione del consenso relativo ai trattamenti, da parte dei soggetti di cui al
precedente periodo, dei dati personali di cui all’articolo 22, comma 1, della Legge 31 dicembre 1996, n. 675, connessi alle
dichiarazioni.
2. Limitatamente alle dichiarazioni presentate nel 1998, l’informativa di cui all’articolo 10 della Legge 31 dicembre 1996, n. 675,
s’intende resa attraverso i modelli di dichiarazione ed il consenso di cui al comma 1 è validamente espresso con la sottoscrizione delle
dichiarazioni.”.
Art. 3. Entrata in vigore
1. Le disposizioni del presente Decreto Legislativo entrano in vigore il giorno stesso della pubblicazione nella Gazzetta Ufficiale della
Repubblica italiana.
Il presente decreto, munito del sigillo dello Stato, sarà inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E fatto
obbligo a chiunque spetti di osservarlo e di farlo osservare.
DECRETO DEL PRESIDENTE DELLA REPUBBLICA 7 LUGLIO 2000, N. 442
Regolamento recante norme per la semplificazione del procedimento per il collocamento ordinario dei
lavoratori, ai sensi dell’articolo 20, comma 8, della Legge 15 marzo 1997, n. 59. (Gazzetta ufficiale n. 36 del
13.2.2001)
Titolo I - DISCIPLINA DEL COLLOCAMENTO
Capo I - Disposizioni generali
Art. 1. Ambito di applicazione
1. Ferme restando le funzioni ed i compiti conferiti alle regioni ed alle province in materia di gestione del collocamento e di politiche
attive del lavoro, ai sensi del Decreto Legislativo 23 dicembre 1997, n. 469, nell’esercizio dei poteri generali di indirizzo, promozione
e coordinamento e, allo scopo di garantire l’efficace attivazione sul territorio nazionale del Sistema informativo lavoro (S.I.L.) in
conformità all’articolo 11 del suddetto Decreto Legislativo n. 469 del 1997, le disposizioni del presente regolamento disciplinano le
linee di carattere generale concernenti le procedure per l’impiego dei lavoratori e per il collocamento. (Seguivano alcune parole non
ammesse al “Visto” della Corte dei conti).
2. I criteri di organizzazione, le modalità, le specificazioni ed i tempi di attuazione delle previsioni del presente regolamento, ivi comprese
le procedure di avviamento a selezione presso le pubbliche amministrazioni secondo criteri oggettivi, previo confronto con le
autonomie locali, saranno definiti, sulla base di indirizzi forniti dal Ministero del lavoro e della previdenza sociale, sentita la
Conferenza unificata, con provvedimenti regionali che dovranno assicurarne, tenuto conto di quanto previsto dalle disposizioni
transitorie di cui all’articolo 8, la piena attuazione entro un anno dalla data di entrata in vigore del presente regolamento.
Art. 2. Definizioni
1. Ai fini del presente regolamento si intende per:
a) “sede di lavoro” l’ufficio, lo stabilimento, il cantiere o comunque il luogo dove si esegue, di norma, la prestazione di lavoro;
b) “sede operativa di società di fornitura di lavoro temporaneo” l’ufficio presso il quale sono tenuti i documenti di lavoro relativi al
prestatore di lavoro temporaneo;
c) “servizi competenti” i centri per l’impiego o gli altri organi individuati dalle regioni ai sensi dell’articolo 4 del Decreto Legislativo
23 dicembre 1997, n. 469;
d) “S.I.L.” il Sistema informativo lavoro.
Art. 3. Tutela dei dati personali
1. Al fine di promuovere l’occupazione, favorire l’inserimento al lavoro e l’accesso ad attività di orientamento e formazione professionale
nonché agevolare l’incontro tra domanda ed offerta di lavoro i servizi competenti possono comunicare e diffondere, anche per via
telematica, a privati datori di lavoro, diversi da quelli autorizzati ai sensi degli articoli 10 e 11, commi 3, 4 e 5, del Decreto Legislativo
23 dicembre 1997, n. 469, a enti pubblici economici che siano interessati all’assunzione, alle società di mediazione autorizzate, nonché
agli enti previdenziali, ai centri di formazione professionale e alle altre pubbliche amministrazioni i dati personali relativi ai soggetti
presenti nelle banche dati, senza che sia necessario il consenso degli interessati, ferme restando le disposizioni di cui all’articolo 13,
comma l, lettera d), della Legge 31 dicembre 1996, n. 675, e con l’esclusione di quelli sensibili o attinenti a provvedimenti giudiziari,
come definiti e individuati rispettivamente negli articoli 22 e 24 della citata Legge n. 675 del 1996.
LEGGE 24 MARZO 2001, N.127
Differimento del termine per l’esercizio della delega prevista dalla Legge 31 dicembre 1996, n. 676, in
materia di trattamento dei dati personali. (G.U. n. 91 del 19.4.2001)
Art. 1.
1. I decreti legislativi di cui all’articolo 1, comma 1, lettere b), numeri 2), 3), 4), 5) e 6), c), d), e), i), l), n), ed o), e all’articolo 2 della
Legge 31 dicembre 1996, n. 676, e successive modificazioni, in materia di trattamento dei dati personali, sono emanati entro il 31
dicembre 2001, sulla base dei princìpi e dei criteri direttivi indicati nella medesima legge.
2. I decreti legislativi di cui al comma 1, sono emanati previo parere delle Commissioni permanenti del Senato della Repubblica e della
Camera dei deputati competenti per materia. Il parere è espresso entro trenta giorni dalla richiesta, indicando specificamente le
eventuali disposizioni non ritenute corrispondenti ai principi e ai criteri direttivi contenuti nella legge di delegazione.
3. Il Governo procede comunque alla emanazione dei decreti legislativi qualora il parere non sia espresso entro trenta giorni dalla
richiesta.
4. Il Governo emana, entro dodici mesi dallo scadere del termine di cui al comma 1 e previa acquisizione dei pareri previsti nel comma 2,
da esprimersi entro sessanta giorni dalla richiesta, un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le
integrazioni e modificazioni necessarie al predetto coordinamento o per assicurarne la migliore attuazione.
5. Il Governo procede comunque alla emanazione del testo unico qualora il parere non sia espresso entro sessanta giorni dalla Richiesta.
Art. 2.
1. La presente legge entra in vigore il giorno successivo alla sua pubblicazione nella Gazzetta Ufficiale. La presente legge, munita del
sigillo dello Stato, sarà inserita nella Raccolta ufficiale degli atti normativi della Repubblica italiana. È fatto obbligo a chiunque spetti
di osservarla e di farla osservare come legge dello Stato.
CODICE DEONTOLOGICO DEI GIORNALISTI
Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica ai
sensi dell’art 25 della Legge 31 dicembre 1996, n. 675. (G.U. 3.8.1998 n.179)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DISPONE
la trasmissione del codice di deontologia che figura in allegato all’ufficio pubblicazione leggi e decreti del Ministero di grazia e giustizia
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Allegato:
Ordine dei Giornalisti Consiglio Nazionale
Codice deontologico relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica ai sensi dell’art. 25 della Legge
31 dicembre 1996, n. 675.
Art. 1. Principi generali
1. Le presenti norme sono volte a contemperare i diritti fondamentali della persona con il diritto dei cittadini all’informazione e con la
libertà di stampa.
2. In forza dell’art. 21 della Costituzione, la professione giornalistica si svolge senza autorizzazioni o censure. In quanto condizione
essenziale per l’esercizio del diritto-dovere di cronaca, la raccolta, la registrazione, la conservazione e la diffusione di notizie su eventi
e vicende relativi a persone, organismi collettivi, istituzioni, costumi, ricerche scientifiche e movimenti di pensiero, attuate nell’ambito
dell’attività giornalistica e per gli scopi propri di tale attività, si differenziano nettamente per la loro natura dalla memorizzazione e dal
trattamento di dati personali ad opera di banche-dati o altri soggetti. Su questi principi trovano fondamento le necessarie deroghe
previste dai paragrafi 17 e 37 e dall’art. 9 della direttiva 95/46/CE del Parlamento europea e dci Consiglio dell’Unione europea del 24
ottobre 1995 e dalla Legge n. 675/1996.
Art. 2. Banche-dati di uso redazionale e tutela degli archivi personali dei giornalisti
1. Il giornalista che raccoglie notizie per una delle operazioni di cui all’art. 1, comma 2, lettera b), della Legge n. 675/1996 rende note la
propria identità, la propria professione e le finalità della raccolta, salvo che ciò comporti rischi per la sua incolumità o renda altrimenti
impossibile l’esercizio della funzione informativa; evita artifici e pressioni indebite. Fatta palese tale attività, il giornalista non è tenuto
a fornire gli altri elementi dell’informativa di cui all’art. 10, comma 1, della Legge n. 675/1996.
2. Se i dati personali sono raccolti presso banche-dati di uso redazionale, le imprese editoriali sono tenute a rendere noti al pubblico,
mediante annunci, almeno due volte l’anno, l’esistenza dell’archivio e il luogo dove è possibile esercitare i diritti previsti dalla Legge
n. 675/1996. Le imprese editoriali indicano altresì fra i dati della gerenza il responsabile del trattamento al quale le persone interessate
possono rivolgersi per esercitare i diritti previsti dalla Legge n. 675 / 1996.
3. Gli archivi personali dei giornalisti, comunque funzionali all’esercizio della professione e per l’esclusivo perseguimento delle relative
finalità, sono tutelati, per quanto concerne le fonti delle notizie, ai sensi dell’art. 2 della Legge n. 69/1963 e dell’art. 13, comma 5, della
Legge n. 675 / 1996.
4. Il giornalista può conservare i dati raccolti per tutto il tempo necessario al perseguimento delle finalità proprie della sua professione.
Art. 3. Tutela del domicilio
1. La tutela del domicilio e degli altri luoghi di privata dimora si estende ai luoghi di cura, detenzione o riabilitazione, nel rispetto delle
norme di legge e dell’uso corretto di tecniche invasive.
Art. 4. Rettifica
1. Il giornalista corregge senza ritardo errori e inesattezze, anche in conformità al dovere di rettifica nei casi e nei modi stabiliti dalla
legge.
Art. 5. Diritto all’informazione e dati personali
1. Nel raccogliere dati personali atti a rivelare origine razziale ed etnica, convinzioni religiose, filosofiche o di altro genere, opinioni
politiche, adesioni a partiti sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dati atti
a rivelare le condizioni di salute e la sfera sessuale, il giornalista garantisce il diritto all’informazione su fatti di interesse pubblico nel
rispetto dell’essenzialità dell’informazione, evitando riferimenti a congiunti o ad altri soggetti non interessati ai fatti.
2. In relazione a dati riguardanti circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico, è
fatto salvo il diritto di addurre successivamente motivi legittimi meritevoli di tutela.
Art. 6. Essenzialità dell’informazione
1. La divulgazione di notizie di rilevante interesse pubblico o sociale non contrasta con il rispetto della sfera privata quando
l’informazione, anche dettagliata, sia indispensabile in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari
in cui è avvenuto, nonché della qualificazione dei protagonisti.
2. La sfera privata delle persone note o che esercitano funzioni pubbliche deve essere rispettata se le notizie o i dati non hanno alcun
rilievo sul loro ruolo o sulla loro vita pubblica.
3. Commenti e opinioni del giornalista appartengono alla libertà di informazione nonché alla libertà di parola e di pensiero
costituzionalmente garantita a tutti.
Art. 7. Tutela del minore
1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi dei minori coinvolti in fatti di cronaca, né fornisce particolari in
grado di condurre alla loro identificazione.
2. La tutela della personalità del minore si estende, tenuto conto della qualità della notizia e delle sue componenti, ai fatti che non siano
specificamente reati.
3. Il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca; qualora,
tuttavia, per motivi di rilevante interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o
immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell’interesse oggettivo
del minore, secondo i principi e i limiti stabiliti dalla “Carta di Treviso”.
Art. 8. Tutela della dignità delle persone
1. Salva l’essenzialità dell’informazione, il giornalista non fornisce notizie o pubblica immagini o fotografie di soggetti coinvolti in fatti
di cronaca lesive della dignità della persona, né si sofferma su dettagli di violenza, a meno che ravvisi la rilevanza sociale della notizia
o dell’immagine.
2. Salvo rilevanti motivi di interesse pubblico o comprovati fini di giustizia e di polizia, il giornalista non riprende né produce immagini e
foto di persone in stato di detenzione senza il consenso dell’interessato.
3. Le persone non possono essere presentate con ferri o manette ai polsi, salvo che ciò sia necessario per segnalare abusi.
Art. 9. Tutela del diritto alla non discriminazione
1. Nell’esercitare il diritto-dovere di cronaca, il giornalista è tenuto a rispettare il diritto della persona alla non discriminazione per razza,
religione, opinioni politiche, sesso, condizioni personali, fisiche o mentali.
Art. 10. Tutela della dignità delle persone malate
1. Il giornalista, nel far riferimento allo stato di salute di una determinata persona, identificata o identificabile, ne rispetta la dignità, il
diritto alla riservatezza e al decoro personale, specie nei casi di malattie gravi o terminali, e si astiene dal pubblicare dati analitici di
interesse strettamente clinico.
2. La pubblicazione è ammessa nell’ambito del perseguimento dell’essenzialità dell’informazione e sempre nel rispetto della dignità della
persona se questa riveste una posizione di particolare rilevanza sociale o pubblica.
Art. 11. Tutela della sfera sessuale della persona
1. Il giornalista si astiene dalla descrizione di abitudini sessuali riferite ad una determinata persona, identificata o identificabile.
2. La pubblicazione è ammessa nell’ambito del perseguimento dell’essenzialità dell’informazione e nel rispetto della dignità della persona
se questa riveste una posizione di particolare rilevanza sociale o pubblica.
Art. 12. Tutela del diritto di cronaca nei procedimenti penali
1. Al trattamento dei dati relativi a procedimenti penali non si applica il limite previsto dall’art. 24 della Legge n. 675/1996.
2. Il trattamento dì dati personali idonei a rivelare provvedimenti di cui all’art. 686, commi 1 lettere a) e d), 2 e 3, del codice di procedura
penale è ammesso nell’esercizio del diritto di cronaca, secondo i principi di cui all’art. 5.
Art. 13. Ambito di applicazione, sanzioni disciplinari
1. Le presenti norme si applicano ai giornalisti professionisti, pubblicisti e praticanti e a chiunque altro, anche occasionalmente, eserciti
attività pubblicistica.
2. Le sanzioni disciplinari, di cui al titolo III della Legge n. 69/1963 si applicano solo ai soggetti iscritti all’albo dei giornalisti, negli
elenchi o nel registro.
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 16 novembre 2004 (G. U. n. 300 del 23 Dicembre 2004)
Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilita' e
puntualita' nei pagamenti. (Deliberazione n. 8).
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella seduta odierna, con la partecipazione del prof. Stefano
Rodota', presidente, del prof. Giuseppe Santaniello, vice presidente,
del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo
e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e
la Commissione incoraggiano l'elaborazione di codici di condotta
destinati a contribuire, in funzione delle specificita' settoriali,
alla corretta applicazione delle disposizioni nazionali di attuazione
della direttiva adottate dagli Stati membri;
Visti gli articoli 12 e 154, comma 1, lettera e) del Codice in
materia di protezione dei dati personali (decreto legislativo
30 giugno 2003, n. 196), i quali attribuiscono al Garante il compito
di promuovere nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentativita' e tenendo conto
dei criteri direttivi delle raccomandazioni del Consiglio d'Europa
sul trattamento dei dati personali, la sottoscrizione di codici di
deontologia e di buona condotta per determinati settori, verificarne
la conformita' alle leggi e ai regolamenti anche attraverso l'esame
di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
Visto l'art. 117 del codice con il quale e' stato demandato al
Garante il compito di promuovere la sottoscrizione di un Codice di
deontologia e di buona condotta per il trattamento dei dati personali
effettuato nell'ambito di sistemi informativi di cui sono titolari
soggetti privati, utilizzati a fini di concessione di crediti al
consumo, nonche' riguardanti l'affidabilita' e la puntualita' nei
pagamenti da parte degli interessati;
Visto il provvedimento generale del Garante adottato il 31 luglio
2002 (in Bollettino del Garante n. 30/2002, p. 47) con il quale,
nelle more dell'adozione del predetto codice di deontologia e di
buona condotta, sono state nel frattempo prescritte, ai soggetti
privati che gestiscono sistemi informativi di rilevazione di rischi
creditizi, nonche' alle banche e societa' finanziarie che vi
accedono, alcune prime misure da adottare al fine di conformare il
relativo trattamento ai principi in materia di protezione dei dati
personali;
Visto il provvedimento del 10 aprile 2002, pubblicato nella
Gazzetta Ufficiale della Repubblica italiana 8 maggio 2002, n. 106,
con il quale il Garante ha promosso la sottoscrizione del codice di
deontologia e di buona condotta;
Viste le comunicazioni pervenute al Garante in risposta al citato
provvedimento del 10 aprile 2002, con le quali diversi soggetti
privati, associazioni di categoria ed associazioni di consumatori
hanno manifestato la volonta' di partecipare all'adozione di tale
codice e rilevato che si e' anche formato un apposito gruppo di
lavoro composto da rappresentanti dei predetti soggetti;
Considerato che il testo del codice di deontologia e di buona
condotta e' stato oggetto di ampia diffusione anche attraverso la sua
pubblicazione sul sito Internet di questa Autorita', resa nota
tramite avviso nella Gazzetta Ufficiale della Repubblica italiana
18 agosto 2004, n. 193, al fine di favorire il piu' ampio dibattito e
di permettere la raccolta di eventuali osservazioni e integrazioni al
testo medesimo da parte di tutti i soggetti interessati;
Viste le osservazioni pervenute a seguito di tale avviso e le
modifiche apportate allo schema del codice, poi sottoscritto il
12 novembre 2004;
Constatata la conformita' del codice di deontologia e di buona
condotta alle leggi ed ai regolamenti anche in relazione a quanto
previsto dall'art. 12 del Codice;
Visto l'art. 5 del codice di deontologia e di buona condotta;
Considerato che dalle predette consultazioni sono emersi anche
alcuni dettagli operativi che rendono necessario indicare modalita'
di attuazione idonee ed efficaci delle disposizioni in materia di
informativa da rendere agli interessati ai sensi dell'art. 13 del
Codice;
Ritenuto pertanto indispensabile prescrivere, ai sensi dell'art.
154, comma 1, lettera c), del Codice, un modello unico per
l'informativa, basato su espressioni chiare, semplici e di agevole
comprensione, e da adottare da tutti i soggetti privati titolari dei
trattamenti di dati personali effettuati, in modo effettivo ed
uniforme;
Rilevato che il rispetto delle disposizioni contenute nel codice di
deontologia e di buona condotta costituisce condizione essenziale per
la liceita' e la correttezza del trattamento dei dati personali
effettuato da soggetti privati e pubblici (art. 12, comma 3, del
Codice);
Rilevato altresi' che i titolari del trattamento sono tenuti a fare
uso del modello unico di informativa che il presente provvedimento
prescrive, al quale potranno apportarvi eventuali modifiche
sostanziali o integrazioni con esso compatibili, unicamente previo
assenso di questa Autorita', salvi eventuali adattamenti meramente
formali;
Considerato che, ai sensi dell'art. 12, comma 2, del codice, il
codice di deontologia e di buona condotta deve essere pubblicato
nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante
e, con decreto del Ministro della giustizia, riportato nell'allegato
a) al medesimo Codice;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000, adottato con
deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta
Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;
Relatore il dott. Mauro Paissan;
Tutto cio' premesso il Garante:
a) dispone la trasmissione del codice di deontologia e di buona
condotta per i sistemi informativi gestiti da soggetti privati in
tema di crediti al consumo, affidabilita' e puntualita' nei
pagamenti, che figura in allegato, all'Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana, nonche' al Ministro
della giustizia per essere riportato nell'allegato a) al Codice;
b) individua, in allegato alla presente deliberazione, il modello
di informativa contenente i requisiti minimi che, ai sensi dell'art.
154, comma 1, lettera c), del codice, prescrive a tutti i titolari
del trattamento interessati di utilizzare nei termini di cui in
motivazione.
Roma, 16 novembre 2004
Il presidente: Rodota'
Allegato
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI
Preambolo
I sottoindicati soggetti privati sottoscrivono il presente codice
di deontologia e di buona condotta sulla base delle seguenti
premesse:
1) il trattamento di dati personali effettuato nell'ambito di
sistemi informativi di cui sono titolari soggetti privati, utilizzati
a fini di credito al consumo o comunque riguardanti l'affidabilita' e
la puntualita' dei pagamenti, deve svolgersi nel rispetto dei
diritti, delle liberta' fondamentali e della dignita' delle persone
interessate, in particolare del diritto alla protezione dei dati
personali, del diritto alla riservatezza e del diritto all'identita'
personale;
2) con il presente codice sono individuate adeguate garanzie e
modalita' di trattamento a tutela dei diritti degli interessati da
osservare nel perseguire finalita' di tutela del credito e di
contenimento dei relativi rischi, in modo da agevolare anche
l'accesso al credito al consumo e ridurre il rischio di eccessivo
indebitamento da parte degli interessati;
3) la sottoscrizione del presente codice e' promossa dal
Garante per la protezione dei dati personali nell'ambito delle
associazioni rappresentative degli operatori del settore, ai sensi
degli articoli 12 e 117 del Codice in materia di protezione dei dati
personali (decreto legislativo 30 giugno 2003, n. 196/2003);
4) tutti coloro che utilizzano dati personali per le finalita'
sopra indicate devono osservare le regole di comportamento stabilite
dal presente codice come condizione essenziale per la liceita' e la
correttezza del trattamento;
5) gli stessi operatori del settore devono rispettare,
altresi', le garanzie previste dal predetto Codice, in particolare in
tema di manifestazione del consenso e di altri presupposti di
liceita';
6) il presente codice non riguarda sistemi informativi di cui
sono titolari soggetti pubblici e, in particolare, il servizio di
centralizzazione dei rischi gestito dalla Banca d'Italia
(articoli 13, 53, comma 1, lettera b), 60, comma 1, 64, 67, comma 1,
lettera b), 106, 107, 144 e 145 del decreto legislativo 1° settembre
1993, n. 385 - Testo unico delle leggi in materia bancaria e
creditizia; delibera Cicr del 29 marzo 1994; provvedimento Banca
d'Italia 10 agosto 1995 - circolare Banca d'Italia 11 febbraio 1991,
n. 139 e successivi aggiornamenti). Al sistema centralizzato di
rilevazione dei rischi di importo contenuto istituito con
deliberazione Cicr del 3 maggio 1999 (in Gazzetta Ufficiale 8 luglio
1999, n. 158) si applicano alcuni principi stabiliti dal presente
codice in tema di informativa agli interessati e di esercizio dei
diritti, in quanto compatibili con la specifica disciplina di
riferimento (v., in particolare, le istruzioni della Banca d'Italia
nella Gazzetta Ufficiale 21 novembre 2000, n. 272).
Art. 1.
Definizioni
1. Ai fini del presente codice di deontologia e di buona
condotta, si applicano le definizioni elencate nel Codice in materia
di protezione dei dati personali (art. 4 decreto legislativo
30 giugno 2003, n. 196), di seguito denominato «Codice». Ai medesimi
fini, si intende inoltre per:
a) «richiesta/rapporto di credito»: qualsiasi richiesta o
rapporto riguardanti la concessione, nell'esercizio di un'attivita'
commerciale o professionale, di credito sotto forma di dilazione di
pagamento, di finanziamento o di altra analoga facilitazione
finanziaria ai sensi del testo unico delle leggi in materia bancaria
e creditizia (decreto legislativo 1° settembre 1993, n. 385);
b) «regolarizzazione degli inadempimenti»: l'estinzione delle
obbligazioni pecuniarie inadempiute (derivanti sia da un mancato
pagamento, sia da un ritardo), senza perdite o residui anche a titolo
di interessi e spese o comunque a seguito di vicende estintive
diverse dall'adempimento, in particolare a seguito di transazioni o
concordati;
c) «sistema di informazioni creditizie»: ogni banca di dati
concernenti richieste/rapporti di credito, gestita in modo
centralizzato da una persona giuridica, un ente, un'associazione o un
altro organismo in ambito privato e consultabile solo dai soggetti
che comunicano le informazioni in essa registrate e che partecipano
al relativo sistema informativo. Il sistema puo' contenere, in
particolare:
1) informazioni creditizie di tipo negativo, che riguardano
soltanto rapporti di credito per i quali si sono verificati
inadempimenti;
2) informazioni creditizie di tipo positivo e negativo, che
attengono a richieste/rapporti di credito a prescindere dalla
sussistenza di inadempimenti registrati nel sistema al momento del
loro verificarsi;
d) «gestore»: il soggetto privato titolare del trattamento dei
dati personali registrati in un sistema di informazioni creditizie e
che gestisce tale sistema stabilendone le modalita' di funzionamento
e di utilizzazione;
e) «partecipante»: il soggetto privato titolare del trattamento
dei dati personali raccolti in relazione a richieste/rapporti di
credito, che in virtu' di contratto o accordo con il gestore
partecipa al relativo sistema di informazioni creditizie e puo'
utilizzare i dati presenti nel sistema, obbligandosi a comunicare al
gestore i predetti dati personali relativi a richieste/rapporti di
credito in modo sistematico, in un quadro di reciprocita' nello
scambio di dati con gli altri partecipanti. Fatta eccezione di
soggetti che esercitano attivita' di recupero crediti, il
partecipante puo' essere:
1) una banca;
2) un intermediario finanziario;
3) un altro soggetto privato che, nell'esercizio di
un'attivita' commerciale o professionale, concede una dilazione di
pagamento del corrispettivo per la fornitura di beni o servizi;
f) «consumatore»: la persona fisica che, in relazione ad una
richiesta/rapporto di credito, agisce per scopi non riferibili
all'attivita' imprenditoriale o professionale eventualmente svolta;
g) «tempo di conservazione dei dati»: il periodo nel quale i
dati personali relativi a richieste/rapporti di credito rimangono
registrati in un sistema di informazioni creditizie ed utilizzabili
dai partecipanti per le finalita' di cui al presente codice;
h) «tecniche o sistemi automatizzati di credit scoring»: le
modalita' di organizzazione, aggregazione, raffronto od elaborazione
di dati personali relativi a richieste/rapporti di credito,
consistenti nell'impiego di sistemi automatizzati basati
sull'applicazione di
metodi o modelli statistici per valutare il rischio creditizio, e i
cui risultati sono espressi in forma di giudizi sintetici, indicatori
numerici o punteggi, associati all'interessato, diretti a fornire una
rappresentazione, in termini predittivi o probabilistici, del suo
profilo di rischio, affidabilita' o puntualita' nei pagamenti.
Art. 2.
Finalita' del trattamento
1. Il trattamento dei dati personali contenuti in un sistema di
informazioni creditizie e' effettuato dal gestore e dai partecipanti
esclusivamente per finalita' correlate alla tutela del credito e al
contenimento dei relativi rischi e, in particolare, per valutare la
situazione finanziaria e il merito creditizio degli interessati o,
comunque, la loro affidabilita' e puntualita' nei pagamenti.
2. Non puo' essere perseguito alcun altro scopo, specie se
relativo a ricerche di mercato e promozione, pubblicita' o vendita
diretta di prodotti o servizi.
Art. 3.
Requisiti e categorie dei dati
1. Il trattamento effettuato nell'ambito di un sistema di
informazioni creditizie riguarda solo dati riferiti al soggetto che
chiede di instaurare o e' parte di un rapporto di credito con un
partecipante e al soggetto coobbligato, anche in solido, la cui
posizione e' chiaramente distinta da quella del debitore principale.
2. Il trattamento non puo' riguardare i dati sensibili e quelli
giudiziari, e concerne dati personali di tipo obiettivo, strettamente
pertinenti e non eccedenti rispetto alle finalita' perseguite,
relativi ad una richiesta/rapporto di credito, e concernenti anche
ogni vicenda intervenuta a qualsiasi titolo o causa fino alla
regolarizzazione degli inadempimenti, nel rispetto dei tempi di
conservazione stabiliti dall'art. 6.
3. Per ogni richiesta/rapporto di credito segnalato ad un sistema
di informazioni creditizie possono essere trattate le seguenti
categorie di dati, che il gestore indica in un elenco reso
agevolmente disponibile su un proprio sito della rete di
comunicazione, nonche' comunica analiticamente agli interessati su
loro richiesta:
a) dati anagrafici, codice fiscale o partita IVA;
b) dati relativi alla richiesta/rapporto di credito,
descrittivi, in particolare, della tipologia di contratto,
dell'importo del credito, delle modalita' di rimborso e dello stato
della richiesta o dell'esecuzione del contratto;
c) dati di tipo contabile relativi ai pagamenti, al loro
andamento periodico, all'esposizione debitoria anche residua e alla
sintesi dello stato contabile del rapporto;
d) dati relativi ad attivita' di recupero del credito o
contenziose, alla cessione del credito o a eccezionali vicende che
incidono sulla situazione soggettiva o patrimoniale di imprese,
persone giuridiche o altri enti.
4. Le codifiche ed i criteri eventualmente utilizzati per
registrare dati in un sistema di informazioni creditizie e per
facilitarne il trattamento sono diretti esclusivamente a fornire una
rappresentazione oggettiva e corretta degli stessi dati, nonche'
delle vicende del rapporto di credito segnalato. L'utilizzo di tali
codifiche e criteri e' accompagnato da precise indicazioni circa il
loro significato, fornite dal gestore, osservate dai partecipanti e
rese agevolmente disponibili da entrambi, anche a richiesta degli
interessati.
5. Nel sistema di informazioni creditizie sono registrati gli
estremi identificativi del partecipante che ha comunicato i dati
personali relativi alla richiesta/rapporto di credito. Tali estremi
sono accessibili al gestore o agli interessati e non anche
intermediari partecipanti.
Art. 4.
Modalita' di raccolta e registrazione dei dati
1. Salvo quanto previsto dal comma 5, il gestore acquisisce
esclusivamente dai partecipanti i dati personali da registrare nel
sistema di informazioni creditizie.
2. Il partecipante adotta idonee procedure di verifica per
garantire la lecita utilizzabilita' nel sistema, la correttezza e
l'esattezza dei dati comunicati al gestore.
3. All'atto del ricevimento dei dati, il gestore verifica la loro
congruita' attraverso controlli di carattere formale e logico e, se i
dati risultano incompleti od incongrui, li ritrasmette al
partecipante che li ha comunicati, ai fini delle necessarie
integrazioni e correzioni. All'esito dei controlli e delle eventuali
integrazioni e correzioni, i dati sono registrati nel sistema di
informazioni creditizie e resi disponibili a tutti i partecipanti.
4. Il partecipante verifica con cura i dati da esso trattati e
risponde tempestivamente alle richieste di verifica del gestore,
anche a seguito dell'esercizio di un diritto da parte
dell'interessato.
5. Eventuali operazioni di eliminazione, integrazione o
modificazione dei dati registrati in un sistema di informazioni
creditizie sono disposte direttamente dal partecipante che li ha
comunicati, ove tecnicamente possibile, ovvero dal gestore su
richiesta del medesimo partecipante o d'intesa con esso, anche a
seguito dell'esercizio di un diritto da parte dell'interessato,
oppure in attuazione di un provvedimento dell'autorita' giudiziaria o
del Garante.
6. I dati relativi al primo ritardo nei pagamenti in un rapporto
di credito sono utilizzati e resi accessibili agli altri partecipanti
nel rispetto dei seguenti termini:
a) nei sistemi di informazioni creditizie di tipo negativo,
dopo almeno centoventi giorni dalla data di scadenza del pagamento o
in caso di mancato pagamento di almeno quattro rate mensili non
regolarizzate;
b) nei sistemi di informazioni creditizie di tipo positivo e
negativo:
1) qualora l'interessato sia un consumatore, decorsi sessanta
giorni dall'aggiornamento mensile di cui al successivo comma 8,
oppure in caso di mancato pagamento di almeno due rate mensili
consecutive, oppure quando il ritardo si riferisce ad una delle due
ultime scadenze di pagamento. Nel secondo caso i dati sono resi
accessibili dopo l'aggiornamento mensile relativo alla seconda rata
consecutivamente non pagata;
2) negli altri casi, dopo almeno trenta giorni
dall'aggiornamento mensile di cui al successivo comma 8 o in caso di
mancato pagamento di una rata.
7. Al verificarsi di ritardi nei pagamenti, il partecipante,
anche unitamente all'invio di solleciti o di altre comunicazioni,
avverte l'interessato circa l'imminente registrazione dei dati in uno
o piu' sistemi di informazioni creditizie. I dati relativi al primo
ritardo di cui al comma 6 possono essere resi accessibili ai
partecipanti solo decorsi almeno quindici giorni dalla spedizione del
preavviso all'interessato.
8. Fermo restando quanto previsto dal comma 6, i dati registrati
in un sistema di informazioni creditizie sono aggiornati
periodicamente, con cadenza mensile, a cura del partecipante che li
ha comunicati.
Art. 5.
Informativa
1. Al momento della raccolta dei dati personali relativi a
richieste/rapporti di credito, il partecipante informa l'interessato
ai sensi dell'art. 13 del Codice anche con riguardo al trattamento
dei dati personali effettuato nell'ambito di un sistema di
informazioni creditizie.
2. L'informativa di cui al comma 1 reca in modo chiaro e preciso,
nell'ambito della descrizione delle finalita' e delle modalita' del
trattamento, nonche' degli altri elementi di cui all'art. 13 del
Codice, le seguenti indicazioni:
a) estremi identificativi dei sistemi di informazioni
creditizie cui sono comunicati i dati personali e dei rispettivi
gestori;
b) categorie di partecipanti che vi accedono;
c) tempi di conservazione dei dati nei sistemi di informazioni
creditizie cui sono comunicati;
d) modalita' di organizzazione, raffronto ed elaborazione dei
dati, nonche' eventuale uso di tecniche o sistemi automatizzati di
credit scoring;
e) modalita' per l'esercizio da parte degli interessati dei
diritti previsti dall'art. 7 del Codice.
3. L'informativa di cui al comma 2 e' fornita agli interessati
per iscritto secondo il modello allegato alla deliberazione che
verifica la conformita' del presente codice e, se inserita in un
modulo utilizzato dal partecipante, e' adeguatamente evidenziata e
collocata in modo autonomo ed unitario, in parti o riquadri distinti
da quelli relativi ad eventuali altre finalita' del trattamento
effettuato dal medesimo partecipante.
4. L'informativa dovuta per effetto di eventuali aggiornamenti o
modifiche relativi alle indicazioni rese ai sensi del comma 2, anche
in caso di cambiamento della denominazione e della sede del gestore,
e' fornita attraverso comunicazioni periodiche, nonche' su uno o piu'
siti Internet e a richiesta degli interessati.
5. Ad integrazione dell'informativa resa dai partecipanti
singolarmente ad ogni interessato, il gestore fornisce un'informativa
piu' dettagliata attraverso modalita' ulteriori di diffusione delle
informazioni al pubblico, anche mediante strumenti telematici.
6. Quando la richiesta di credito non e' accolta, il partecipante
comunica all'interessato se, per istruire la richiesta di credito, ha
consultato dati personali relativi ad informazioni creditizie di tipo
negativo in uno o piu' sistemi, indicandogli gli estremi
identificativi del sistema da cui sono state rilevate tali
informazioni e del relativo gestore.
7. Il partecipante fornisce all'interessato le altre notizie di
cui agli articoli 9, comma 1, lettera d), e 10, comma 1, lettera c).
Art. 6.
Conservazione e aggiornamento dei dati
1. I dati personali riferiti a richieste di credito, comunicati
dai partecipanti, possono essere conservati in un sistema di
informazioni creditizie per il tempo necessario alla relativa
istruttoria e comunque non oltre centottanta giorni dalla data di
presentazione delle richieste medesime. Se la richiesta di credito
non e' accolta o e' oggetto di rinuncia il partecipante ne da'
notizia al gestore con l'aggiornamento mensile di cui all'art. 4,
comma 8. In tal caso, i dati personali relativi alla richiesta cui
l'interessato ha rinunciato o che non e' stata accolta possono essere
conservati nel sistema non oltre trenta giorni dalla data del loro
aggiornamento.
2. Le informazioni creditizie di tipo negativo relative a ritardi
nei pagamenti, successivamente regolarizzati, possono essere
conservate in un sistema di informazioni creditizie fino a:
a) dodici mesi dalla data di registrazione dei dati relativi
alla regolarizzazione di ritardi non superiori a due rate o mesi;
b) ventiquattro mesi dalla data di registrazione dei dati
relativi alla regolarizzazione di ritardi superiori a due rate o
mesi.
3. Decorsi i periodi di cui al comma 2, i dati sono eliminati dal
sistema di informazioni creditizie se nel corso dei medesimi
intervalli di tempo non sono registrati dati relativi ad ulteriori
ritardi o inadempimenti.
4. Il partecipante ed il gestore aggiornano senza ritardo i dati
relativi alla regolarizzazione di inadempimenti di cui abbiano
conoscenza, avvenuta dopo la cessione del credito da parte del
partecipante ad un soggetto che non partecipa al sistema, anche a
seguito di richiesta dell'interessato munita di dichiarazione del
soggetto cessionario del credito o di altra idonea documentazione.
5. Le informazioni creditizie di tipo negativo relative a
inadempimenti non successivamente regolarizzati possono essere
conservate nel sistema di informazioni creditizie non oltre trentasei
mesi dalla data di scadenza contrattuale del rapporto oppure, in caso
di altre vicende rilevanti in relazione al pagamento, dalla data in
cui e' risultato necessario il loro ultimo aggiornamento, o comunque
dalla data di cessazione del rapporto.
6. Le informazioni creditizie di tipo positivo relative ad un
rapporto che si e' esaurito con estinzione di ogni obbligazione
pecuniaria, possono essere conservate nel sistema non oltre
ventiquattro mesi dalla data di cessazione del rapporto o di scadenza
del relativo contratto, ovvero dal primo aggiornamento effettuato nel
mese successivo a tali date. Tenendo conto del requisito della
completezza dei dati in rapporto alle finalita' perseguite (art. 11,
comma 1, lettera d) del Codice), le predette informazioni di tipo
positivo possono essere conservate ulteriormente nel sistema qualora
in quest'ultimo risultino presenti, in relazione ad altri rapporti di
credito riferiti al medesimo interessato, informazioni creditizie di
tipo negativo concernenti ritardi od inadempimenti non regolarizzati.
In tal caso, le informazioni creditizie di tipo positivo sono
eliminate dal sistema allo scadere del termine previsto dal comma 5
per la conservazione delle informazioni di tipo negativo registrate
nel sistema in riferimento agli altri rapporti di credito con
l'interessato.
7. Qualora il consumatore interessato comunichi al partecipante
la revoca del consenso al trattamento delle informazioni di tipo
positivo, nell'ambito del sistema di informazioni creditizie, il
partecipante ne da' notizia al gestore con l'aggiornamento mensile di
cui all'art. 4, comma 8. In tal caso, e in quello in cui la revoca
gli sia stata comunicata direttamente dall'interessato, il gestore
registra la notizia nel sistema ed elimina le informazioni non oltre
novanta giorni dall'aggiornamento o dalla comunicazione.
8. Prima dell'eliminazione dei dati dal sistema di informazioni
creditizie nei termini indicati ai precedenti commi, il gestore puo'
trasporre i dati su altro supporto, ai fini della limitata
conservazione per il tempo necessario, esclusivamente in relazione ad
esigenze di difesa di un proprio diritto in sede giudiziaria, nonche'
della loro eventuale elaborazione statistica in forma anonima.
9. Le disposizioni del presente art. non riguardano la
conservazione ad uso interno, da parte del partecipante, della
documentazione contrattuale o contabile contenente i dati personali
relativi alla richiesta/rapporto di credito.
Art. 7.
Utilizzazione dei dati
1. Il partecipante puo' accedere al sistema di informazioni
creditizie anche mediante consultazione di copia della relativa banca
dati, rispetto a dati per i quali sussiste un suo giustificato
interesse, riguardanti esclusivamente:
a) consumatori che chiedono di instaurare o sono parte di un
rapporto di credito con il medesimo partecipante e soggetti
coobbligati, anche in solido;
b) soggetti che agiscono nell'ambito della loro attivita'
imprenditoriale o professionale per i quali sia stata avviata
un'istruttoria per l'instaurazione di un rapporto di credito o
comunque per l'assunzione di un rischio di credito, oppure che siano
gia' parte di un rapporto di credito con il medesimo partecipante;
c) soggetti aventi un collegamento di tipo giuridico con quelli
di cui alla lettera b), in particolare in quanto obbligati in solido
o appartenenti a gruppi di imprese, sempre che i dati personali cui
il partecipante intende accedere risultino oggettivamente necessari
per valutare la situazione finanziaria e il merito creditizio dei
soggetti di cui alla stessa lettera b).
2. Il sistema di informazioni creditizie e' accessibile dal
partecipante e dal gestore solo da un numero limitato, rispetto
all'intera organizzazione del titolare, di responsabili ed incaricati
del trattamento designati per iscritto, con esclusivo riferimento ai
dati strettamente necessari, pertinenti e non eccedenti in rapporto
alle finalita' indicate nell'art. 2, in relazione alle specifiche
esigenze derivanti dall'istruttoria di una richiesta di credito o
dalla gestione di un rapporto, concretamente verificabili sulla base
degli elementi in possesso dei partecipanti medesimi. Nei soli limiti
e con le medesime modalita' appena indicate, il sistema e'
accessibile anche da banche ed intermediari finanziari appartenenti
al gruppo bancario del partecipante all'esclusivo fine di curare
l'istruttoria per l'instaurazione del rapporto di credito con
l'interessato o comunque per l'assunzione del relativo rischio.
3. I partecipanti accedono al sistema di informazioni creditizie
attraverso le modalita' e gli strumenti anche telematici individuati
per iscritto con il gestore, nel rispetto della normativa sulla
protezione dei dati personali. I dati personali relativi a
richieste/rapporti di credito registrati in un sistema di
informazioni creditizie sono consultabili con modalita' di accesso
graduale e selettivo, attraverso uno o piu' livelli di consultazione
di informazioni sintetiche o riepilogative dei dati riferiti
all'interessato, prima della loro visione in dettaglio e con
riferimento anche ad eventuali dati riferiti a soggetti coobbligati o
collegati ai sensi del comma 1. Sono, in ogni caso, precluse, anche
tecnicamente, modalita' di accesso che permettano interrogazioni di
massa o acquisizioni di elenchi di dati concernenti
richieste/rapporti di credito relativi a soggetti diversi da quelli
che hanno chiesto di instaurare o sono parte di un rapporto di
credito con il partecipante.
4. Non e' inoltre consentito l'accesso ad un sistema di
informazioni creditizie da parte di terzi, fatte salve le richieste
da parte di organi giudiziari e di polizia giudiziaria per ragioni di
giustizia, oppure da parte di altre istituzioni, autorita',
amministrazioni o enti pubblici nei soli casi previsti da leggi,
regolamenti o normative comunitarie e con l'osservanza delle norme
che regolano la materia.
Art. 8.
Accesso ed esercizio di altri diritti degli interessati
1. In relazione ai dati personali registrati in un sistema di
informazioni creditizie, gli interessati possono esercitare i propri
diritti secondo le modalita' stabilite dal Codice, sia presso il
gestore, sia presso i partecipanti che li hanno comunicati. Tali
soggetti garantiscono, anche attraverso idonee misure organizzative e
tecniche, un riscontro tempestivo e completo alle richieste avanzate.
2. Nella richiesta con la quale esercita i propri diritti,
l'interessato indica anche, ove possibile, il codice fiscale e/o la
partita IVA, al fine di agevolare la ricerca dei dati che lo
riguardano nel sistema di informazioni creditizie.
3. Il terzo al quale l'interessato conferisce, per iscritto,
delega o procura per l'esercizio dei propri diritti, puo' trattare i
dati personali acquisiti presso un sistema di informazioni creditizie
esclusivamente per finalita' di tutela dei diritti dell'interessato,
con esclusione di ogni altro scopo perseguito dal terzo medesimo o da
soggetti ad esso collegati.
4. Il partecipante, al quale e' rivolta una richiesta con cui e'
esercitato taluno dei diritti di cui all'art. 7 del Codice
relativamente alle informazioni creditizie registrate in un sistema,
fornisce direttamente riscontro nei termini previsti dall'art. 146,
commi 2 e 3 del Codice e dispone le eventuali modifiche ai dati ai
sensi dell'art. 4, comma 5. Se la richiesta e' rivolta al gestore,
quest'ultimo provvede anch'esso direttamente nei medesimi termini,
consultando ove necessario il partecipante.
5. Qualora sia necessario svolgere ulteriori o particolari
verifiche con il partecipante, il gestore informa l'interessato di
tale circostanza entro il termine di quindici giorni previsto dal
codice ed indica un altro termine per la risposta, che non puo'
essere superiore ad ulteriori quindici giorni. Durante il periodo
necessario ad effettuare le ulteriori verifiche con il partecipante,
il gestore:
a) nell'arco dei primi quindici giorni, mantiene nel sistema di
informazioni creditizie l'indicazione relativa allo svolgimento delle
verifiche, tramite specifica codifica o apposito messaggio da apporre
in corrispondenza dei dati oggetto delle richieste dell'interessato;
b) negli ulteriori quindici giorni, sospende la visualizzazione
nel sistema di informazioni creditizie dei dati oggetto delle
verifiche.
6. In caso di richieste di cui al comma 4 riguardanti effettive
contestazioni relative ad inadempimenti del venditore/fornitore dei
beni o servizi oggetto del contratto sottostante al rapporto di
credito, il gestore annota senza ritardo nel sistema di informazioni
creditizie, su richiesta dell'interessato, del partecipante o
informando quest'ultimo, la notizia relativa all'esistenza di tali
contestazioni, tramite l'inserimento di una specifica codifica da
apporre in corrispondenza dei dati relativi al rapporto di credito.
Art. 9.
Uso di tecniche o sistemi automatizzati di credit scoring
1. Nei casi in cui i dati personali contenuti in un sistema di
informazioni creditizie siano trattati anche mediante l'impiego di
tecniche o sistemi automatizzati di credit scoring, il gestore e i
partecipanti assicurano il rispetto dei seguenti principi:
a) le tecniche o i sistemi, messi a disposizione dal gestore o
impiegati per conto dei partecipanti, possono essere utilizzati solo
per l'istruttoria di una richiesta di credito o per la gestione dei
rapporti di credito instaurati;
b) i dati relativi a giudizi, indicatori o punteggi associati
ad un interessato sono elaborati e comunicati dal gestore al solo
partecipante che ha ricevuto la richiesta di credito dall'interessato
o che ha precedentemente comunicato dati riguardanti il relativo
rapporto di credito e, comunque, non sono conservati nel sistema di
informazioni creditizie ai sensi dell'art. 6 del presente codice, ne'
resi accessibili agli altri partecipanti;
c) i modelli o i fattori di analisi statistica, nonche' gli
algoritmi di calcolo dei giudizi, indicatori o punteggi sono
verificati periodicamente con cadenza almeno annuale ed aggiornati in
funzione delle risultanze di tali verifiche;
d) quando la richiesta di credito non e' accolta, il
partecipante comunica all'interessato se, per istruire la richiesta
di credito, ha consultato dati relativi a giudizi, indicatori o
punteggi di tipo negativo ottenuti mediante l'uso di tecniche o
sistemi automatizzati di credit scoring e, su sua richiesta, gli
fornisce tali dati, nonche' una spiegazione delle logiche di
funzionamento dei sistemi utilizzati e delle principali tipologie di
fattori tenuti in considerazione nell'elaborazione.
Art. 10.
Trattamento di dati provenienti da fonti pubbliche
1. Nei casi in cui il gestore di un sistema di informazioni
creditizie, direttamente o per il tramite di societa' collegate o
controllate, effettua in ogni forma di dati personali provenienti da
pubblici registri, elenchi, atti o documenti conoscibili da chiunque
o comunque fornisce ai partecipanti servizi per accedere ai dati
provenienti da tali fonti, fermi restando i limiti e le modalita' che
le leggi stabiliscono per la loro conoscibilita' e pubblicita',
nonche' le disposizioni di cui all'art. 61, comma 1, del Codice, il
gestore e i partecipanti assicurano il rispetto dei seguenti
principi:
a) i dati personali provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque, se registrati, devono
figurare in banche di dati personali separate dal sistema di
informazioni creditizie e non interconnesse a tale sistema;
b) nel caso di accesso del partecipante a dati personali
contenuti sia in un sistema di informazioni creditizie, sia in una
delle banche di dati di cui alla lettera a), il gestore adotta le
adeguate misure tecniche ed organizzative al fine di assicurare la
separazione e la distinguibilita' dei dati provenienti dal sistema di
informazioni creditizie rispetto a quelli provenienti da altre banche
dati, anche attraverso l'inserimento di idonee indicazioni,
eliminando ogni possibilita' di equivoco circa la diversa natura ed
origine dei dati oggetto dell'accesso;
c) quando la richiesta di credito non e' accolta, il
partecipante comunica all'interessato se, per istruire la richiesta
di credito, ha consultato anche dati personali di tipo negativo nelle
banche di dati di cui alla lettera a) e, su sua richiesta, specifica
la fonte pubblica da cui provengono i dati medesimi.
Art. 11.
Misure di sicurezza dei dati
1. I dati personali oggetto di trattamento nell'ambito di un
sistema di informazioni creditizie hanno carattere riservato e non
possono essere divulgati a terzi, al di fuori dei casi previsti dal
Codice e nei precedenti articoli.
2. Le persone fisiche che, in qualita' di responsabili o di
incaricati del trattamento designati dal gestore o dai partecipanti,
hanno accesso al sistema di informazioni creditizie, mantengono il
segreto sui dati personali acquisiti e rispondono della violazione
degli obblighi di riservatezza derivanti da un'utilizzazione dei dati
o una divulgazione a terzi per finalita' diverse o incompatibili con
le finalita' di cui all'art. 2 del presente codice o comunque non
consentite.
3. Il gestore e i partecipanti adottano le misure tecniche,
logiche, informatiche, procedurali, fisiche ed organizzative idonee
ad assicurare la sicurezza, l'integrita' e la riservatezza dei dati
personali e delle comunicazioni elettroniche in conformita' alla
disciplina in materia di protezione dei dati personali.
4. Il gestore adotta adeguate misure di sicurezza al fine di
garantire il corretto e regolare funzionamento del sistema di
informazioni creditizie, nonche' il controllo degli accessi. Questi
ultimi sono registrati e memorizzati nel sistema informativo del
gestore medesimo o di ogni partecipante presso cui risieda copia
della stessa banca dati.
5. In relazione al rispetto degli obblighi di sicurezza,
riservatezza e segretezza di cui al presente articolo, il gestore e i
partecipanti impartiscono specifiche istruzioni per iscritto ai
rispettivi responsabili ed incaricati del trattamento e vigilano
sulla loro puntuale osservanza, anche attraverso verifiche da parte
di idonei organismi di controllo.
Art. 12.
Misure sanzionatorie
1. Ferme restando le sanzioni amministrative, civili e penali
previste dalla normativa vigente, i gestori e i partecipanti
prevedono d'intesa tra di loro, anche per il tramite delle
associazioni che sottoscrivono il presente codice, idonei meccanismi
per l'applicazione, in particolare da parte delle associazioni di
categoria che sottoscrivono il presente codice o dell'organismo di
cui all'art. 13, comma 7, previa informativa al Garante, di misure
sanzionatorie graduate a seconda della gravita' della violazione. Le
misure comprendono il richiamo formale, la sospensione o la revoca
dell'autorizzazione ad accedere al sistema di informazioni creditizie
e, nei casi piu' gravi, anche la pubblicazione della notizia della
violazione su uno o piu' quotidiani o periodici nazionali, a spese
del contravventore.
Art. 13.
Disposizioni transitorie e finali
1. Le misure necessarie per l'applicazione del presente codice di
deontologia e di buona condotta sono adottate dai soggetti tenuti a
rispettarlo al piu' tardi entro il 30 aprile 2005.
2. Entro il termine di cui al comma 1, il gestore del sistema
centralizzato di rilevazione dei rischi di importo contenuto,
istituito con deliberazione Cicr del 3 maggio 1999 (pubblicata nella
Gazzetta Ufficiale 8 luglio 1999, n. 158), nonche' i relativi
partecipanti, adottano le misure necessarie per l'applicazione degli
articoli 5 e 8, commi 1, 2, 3, 4 e 5, primo periodo, del presente
codice in tema di informativa agli interessati e di esercizio dei
diritti, ad integrazione di quanto previsto nel punto 3 delle
istruzioni della Banca d'Italia (pubblicate nella Gazzetta Ufficiale
21 novembre 2000, n. 272).
3. I partecipanti forniscono entro i tre mesi successivi al
termine di cui al comma 1, nell'ambito delle comunicazioni periodiche
inviate alla clientela, le informazioni di cui all'art. 5, commi 1 e
2, del presente codice eventualmente non comprese nelle informative
precedentemente rese agli interessati i cui dati personali risultino
gia' registrati in un sistema di informazioni creditizie.
4. In sede di prima applicazione delle disposizioni di cui
all'art. 6, comma 6, i gestori riducono entro il 30 giugno 2005, ad
un termine non superiore a trentasei mesi, i tempi di conservazione
dei dati personali relativi ad informazioni creditizie di tipo
positivo. Entro il 31 dicembre 2005 l'organismo di cui al comma 7
valuta, con atto motivato, se l'esperienza maturata e l'incidenza
delle misure previste dal presente codice sui diritti degli
interessati, tenuto anche conto dell'efficienza dei sistemi di
informazioni creditizie, giustifichino il mantenimento del predetto
termine di trentasei mesi. Il medesimo termine si intende mantenuto
qualora il Garante, su richiesta del predetto organismo o di propria
iniziativa, non disponga diversamente. Entro il 31 gennaio 2006 il
Garante dispone la pubblicazione sulla Gazzetta Ufficiale del proprio
provvedimento o di un avviso indicante il termine da osservare.
5. Al fine di consentire il controllo sulla corretta attuazione
delle disposizioni del presente codice, ogni gestore comunica al
Garante, non oltre due mesi dal termine di cui al comma 1 e secondo
le modalita' indicate da quest'ultimo:
a) oltre ai propri estremi identificativi e recapiti, una
descrizione generale delle modalita' di funzionamento del sistema di
informazioni creditizie e di accesso da parte dei partecipanti, che
permetta di valutare l'adeguatezza delle misure, anche tecniche ed
organizzative, adottate per l'applicazione del presente codice;
b) in relazione alle parti aventi riflessi in materia di
protezione dei dati personali e di applicazione del presente codice,
i modelli di contratti, accordi, convenzioni, regolamenti o
istruzioni che disciplinano le modalita' di partecipazione ed accesso
dei partecipanti al sistema di informazioni creditizie, nonche' la
documentazione circa le misure adottate in tema di sicurezza,
riservatezza e segretezza dei dati;
c) i documenti di cui agli articoli 3, commi 3 e 4, 5, commi 4
e 5, e di cui al successivo comma 7.
6. Le comunicazioni di cui al comma 5 sono inviate al Garante,
anche successivamente al predetto termine, da qualsiasi titolare che,
in qualita' di gestore di un sistema di informazioni creditizie,
intenda procedere ad un trattamento di dati personali soggetto
all'ambito di applicazione del presente codice. I gestori trasmettono
al Garante eventuali variazioni delle comunicazioni e dei documenti
precedentemente inviati, non oltre la fine dell'anno in cui sono
avvenute le variazioni.
7. Il gestore effettua verifiche periodiche, con cadenza almeno
annuale, sulla liceita' e correttezza del trattamento, controllando
l'esattezza e completezza dei dati riferiti ad un congruo numero di
richieste/rapporti di credito, estratti a campione. Il controllo e'
eseguito da un organismo composto da almeno un rappresentante del
gestore, un rappresentante dei partecipanti designato a rotazione e
un rappresentante delle associazioni dei consumatori designato dal
Consiglio nazionale dei consumatori ed utenti. Il verbale dei
controlli e' trasmesso al Garante.
8. Allo scopo di vigilare sulla puntuale osservanza delle
disposizioni contenute nel presente codice e fermi restando i poteri
previsti dal Codice in materia di accertamenti e controlli, il
Garante puo' concordare con il gestore l'esecuzione di altre
verifiche periodiche presso i luoghi ove si svolge il trattamento dei
dati personali, con eventuali accessi, anche a campione, al sistema
di informazioni creditizie. Il Garante puo' eseguire analoghi
controlli concordati sugli accessi effettuati da parte dei
partecipanti.
9. Le associazioni di categoria che sottoscrivono il presente
codice e i gestori avviano forme di collaborazione con le
associazioni dei consumatori e con il Garante, al fine di individuare
sia soluzioni operative per il rispetto del presente codice, sia
sistemi alternativi di risoluzione delle controversie derivanti
dall'applicazione del presente codice.
10. Il Garante, anche su richiesta delle associazioni di
categoria che sottoscrivono il presente codice, promuove il periodico
riesame e l'eventuale adeguamento alla luce del progresso
tecnologico, dell'esperienza acquisita nella sua applicazione o di
novita' normative.
Art. 14.
Entrata in vigore
Il presente codice si applica a decorrere dal 1° gennaio 2005.
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I SISTEMI INFORMATIVI
GESTITI DA SOGGETTI PRIVATI IN TEMA DI CREDITI AL CONSUMO,
AFFIDABILITA' E PUNTUALITA' NEI PAGAMENTI (ART. 117 DEL DECRETO
LEGISLATIVO N. 196/2003)
Sottoscritto da:
AISReC - Associazione italiana delle societa' di referenza
creditizia;
ABI - Associazione bancaria italiana;
FEDERCASSE - Federazione italiana delle banche di credito
cooperativo;
ASSOFIN - Associazione italiana del credito al consumo e
immobiliare;
ASSILEA - Associazione italiana leasing;
CTC - Consorzio per la tutela del credito;
ADICONSUM - Associazione difesa consumatori e ambiente;
ADOC - Associazione per la difesa e l'orientamento dei
consumatori;
ADUSBEF - Associazione difesa utenti servizi bancari finanziari
assicurativi e postali;
CODACONS - Coordinamento delle associazioni per la difesa
dell'ambiente e la tutela dei diritti di utenti e di consumatori;
FEDERCONSUMATORI - Federazione nazionale consumatori e utenti.
IL TRASFERIMENTO DEI DATI FUORI DALL’UNIONE EUROPEA
CLAUSOLE CONTRATTUALI - TIPO
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Deliberazione 10 ottobre 2001.
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso Paesi non appartenenti
all’Unione europea in conformità alle clausole contrattuali tipo di cui all’allegato alla decisione della
Commissione europea del 15 giugno 2001, n. 2001/497/CE. (Deliberazione n. 35).
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof. Gaetano
Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
• Visto l’art. 25 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali
possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di protezione
adeguato, nei termini previsti nel paragrafo 2 del medesimo articolo;
• Visto l’art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato
membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisce un
livello di protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e
delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi, risultanti anche da clausole contrattuali appropriate;
• Visto il comma 4 del medesimo articolo 26 sulle decisioni della Commissione europea in materia di clausole contrattuali tipo;
• Vista la decisione della Commissione europea del 15 giugno 2001 n. 2001 /497/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità
europee L. 181 del 4 luglio 2001) secondo la quale alcune clausole contrattuali tipo, allegate alla medesima decisione, costituiscono
garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l’esercizio dei diritti
connessi, in caso di trasferimento di dati personali verso Paesi terzi a norma della direttiva 95/46/CE;
• Considerato che gli Stati membri devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi del
paragrafo 4 del citato art. 26 della direttiva;
• Visto l’art. 28 della Legge 31 dicembre 1996, n. 675 secondo cui il trasferimento dei dati personali all’estero può avvenire:
a) qualora l’ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta
di dati sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall’ordinamento italiano;
b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo;
c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, prestate anche con un
contratto (comma 4, lett. g));
• Ritenuta la necessità di adottare, in conformità al citato art. 28, una misura necessaria per l’applicazione della decisione della
Commissione,
• Ritenuto che le citate clausole contrattuali tipo, che sono state articolate dalla Commissione in n. 11 clausole e n. 3 allegati anche sulla
base del parere favorevole del Gruppo delle autorità garanti europee di cui all’att. 29 della citata direttiva, prevedono alcune garanzie per
i diritti dell’interessato da ritenere adeguate ai sensi del citato art. 28, comma 4, lett. g);
• Considerato che i soggetti che utilizzano le citate clausole contrattuali possono prevedere ulteriori garanzie per le persone cui si
riferiscono i dati, rispetto alle garanzie minime previste dalle clausole medesime;
• Rilevato che la decisione della Commissione riguarda unicamente i trasferimenti di dati effettuati a partire dal territorio dello Stato da un
titolare del trattamento avente sede nella Comunità (soggetto esportatore) ad un diverso titolare del trattamento (soggetto importatore) e
che un’ulteriore decisione della Commissione individuerà altre clausole contrattuali tipo per i trasferimenti di dati effettuati da un titolare
del trattamento avente sede nella Comunità ad un responsabile del medesimo trattamento;
• Ritenuta la necessità di assicurare ulteriore pubblicità alle predette clausole contrattuali tipo, disponendo la loro pubblicazione sulla
Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;
• Ritenuta la necessità di formulare nel dispositivo alcune precisazioni nell’esercizio dei compiti demandati a questa Autorità dall’art. 28
della citata direttiva e dalla Legge n. 675/1996, richiamati anche dalla citata decisione della Commissione, nei limiti necessari per la
prima fase di applicazione del presente provvedimento;
• Ritenuto di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il ruolo di mediazione previsto dalla clausola n. 7,
paragrafo 1, lett. a) della Decisione;
• Riservata la specificazione di ulteriori criteri e modalità in base all’esperienza maturata nell’utilizzazione delle clausole, anche in sede
comunitaria;
• Vista la documentazione d’ufficio
• Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dall’art. 15 del regolamento del Garante, n. 1 /2000;
Relatore il prof. Stefano Rodotà;
TUTTO CIÒ PREMESSO IL GARANTE:
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all’Unione europea, effettuati sulla base
e in conformità alle clausole contrattuali tipo di cui all’allegato alla decisione della Commissione europea del 15 giugno 2001 n. 2001
/497/CE, con effetto dal 3 settembre 2001 e sulla base dei seguenti presupposti:
a) il soggetto esportatore e il soggetto importatore devono richiamare o incorporare le clausole nei contratti relativi al trasferimento dei
dati in modo da renderle riconoscibili anche alle persone cui si riferiscono i dati e che chiedano di averne conoscenza, evitando altresì
la previsione di clausole limitative o incompatibili (clausole nn. 4, lett. c) e 5, lett. e); considerando alla decisione n. 5);
b) la copia del contratto relativo al trasferimento e le altre informazioni necessarie devono essere fornite al Garante solo a richiesta di
questa Autorità (clausole nn. 4, 5 e 8; art. 31, comma 2, Legge n. 675/1996);
c) deve essere comunicata al Garante la scelta che è stata effettuata in caso di controversia non risolta in via amichevole e sottoposta
all’esame di un soggetto diverso dal Garante o dall’autorità giudiziaria (clausola 7, par 2 e par. 1, lett. a); art. 31, comma 2, Legge n.
675/1996);
d) si riserva in ogni caso di svolgere i necessari controlli e di adottare eventuali provvedimenti anche di blocco o di divieto di
trasferimento in conformità alla Legge n. 675/1996 e alla normativa comunitaria (art. 4 e considerando n. IS della decisione);
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della commissione all’Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
ALLEGATO
TRASFERIMENTO NEGLI USA E ACCORDO “SAFE HARBOR”
Garante per la protezione dei dati personali
Deliberazione 10 ottobre 2001.
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso organizzazioni aventi sede
negli Stati Uniti effettuati in base ai “Principi di approdo sicuro in materia di riservatezza” applicati in
conformità alle “Domande più frequenti” (FAQ) e all’ulteriore documentazione allegata alla decisione
della Commissione europea del 26 luglio 2000, n. 2000/520/CE. (Deliberazione n. 36).
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
• Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof.
Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
• Visto l’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i
dati personali possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di
protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
• Visto il paragrafo 6 del medesimo art. 25 secondo il quale la Commissione europea può constatare che un Paese terzo garantisce un
livello di protezione adeguato ai sensi del citato paragrafo 2, ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali
della persona;
• Vista la decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità
europee L 215 del 25 agosto 2000 e L 115 del 25 aprile 2001) secondo la quale i “Principi di approdo sicuro in materia di riservatezza”
allegati alla medesima decisione, applicati in conformità agli orientamenti forniti da talune “Domande più frequenti” (FAQ) parimenti
allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla Comunità ad organizzazioni aventi sede negli
Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense ivi menzionata;
• Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai
sensi del paragrafo 6 del citato art. 25 della direttiva;
• Visto l’art. 28 della Legge 31 dicembre 1996, n. 675 secondo cui il trasferimento dei dati personali all’estero può avvenire: a) qualora
l’ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di dati
sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall’ordinamento italiano; b) oppure, qualora ricorra
uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate
garanzie per i diritti dell’interessato, prestate anche con un contratto (comma 4, lett. g));
• Ritenuta la necessità di adottare una misura necessaria per l’applicazione della Decisione della Commissione in conformità al citato art.
28, nelle more del completamento del recepimento della citata direttiva n. 95/46/CE;
• Ritenuto che i sette Principi allegati alla Decisione e precisati in n. 15 FAQ, su cui si è espresso con vari pareri ed osservazioni anche il
Gruppo delle autorità garanti europee di cui all’art. 29 della citata direttiva, prevedono alcune garanzie per i diritti dell’interessato che in
conformità al diritto comunitario vanno ritenute adeguate ai sensi del citato art. 28, comma 4, lett. g);
• Considerato che i soggetti che applicano i predetti Principi possono prevedere ulteriori garanzie per le persone cui si riferiscono i dati,
rispetto a quelle minime previste dalla richiamata Decisione;
• Rilevato che la Decisione della Commissione può essere adattata alla luce dell’esperienza acquisita nella sua attuazione o alla luce di
nuove normative intervenute negli Stati Uniti (art. 4);
• Visti gli articoli 2 e 3 della Decisione in tema di controlli e provvedimenti delle autorità di garanzia degli Stati membri sulla liceità e
correttezza dei trasferimenti e dei trattamenti di dati anteriori ai trasferimenti medesimi, anche in relazione a quanto previsto dall’articolo
4 della direttiva n. 95/46/CE sul diritto nazionale applicabile;
• Vista la FAQ n. 5 sul ruolo che le autorità di garanzia degli Stati membri dovrebbero svolgere con la cooperazione delle organizzazioni
statunitensi che ricevano dati personali dall’Unione europea, anche nell’ambito di un comitato (panel informale di autorità costituito a
livello europeo cui il Garante intende partecipare;
• Rilevato che le autorità di garanzia degli Stati membri, riunite nel Gruppo di cui all’att. 29 della direttiva europea n. 95/46/CE, hanno
aderito all’inserimento della FAQ n. 5 nel pacchetto di misure previsto dalla Decisione della Commissione;
• Ritenuta la necessità di assicurare ulteriore pubblicità ai predetti Principi disponendo la loro pubblicazione sulla Gazzetta Ufficiale della
Repubblica italiana in allegato alla presente autorizzazione;
• Vista la documentazione d’ufficio;
• Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dall’art. 15 del regolamento del Garante, n. 1 /2000;
Relatore il prof. Giuseppe Santaniello;
TUTTO CIÒ PREMESSO IL GARANTE:
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati sulla base
e in conformità ai “Principi di approdo sicuro in materia di riservatezza”, applicati in conformità alle “Domande più frequenti” (FAQ) e
all’ulteriore documentazione allegata alla Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE;
2) si riserva di svolgere, in conformità alla normativa comunitaria, alla Legge n. 675/ 1996, all’att. 3 della Decisione della Commissione e
all’allegata FAQ. n. 5, i necessari controlli sulla liceità e correttezza dei trasferimenti e delle operazioni di trattamento anteriori ai
trasferimenti medesimi, nonché sul rispetto dei predetti Principi, e di adottare eventuali provvedimenti di blocco o di divieto di
trasferimento;
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della Commissione all’Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
ALLEGATO
……………….
TRASFERIMENTO DATI IN SVIZZERA
Garante per la protezione dei dati personali
Deliberazione 17 ottobre 2001.
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso la Svizzera, in conformità
a quanto previsto dalla decisione della Commissione europea del 26 luglio 2000, n. 2000/518/CE.
(Deliberazione n. 37).
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof. Gaetano
Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
• Visto l’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i
dati personali possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di
protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
• Visto il paragrafo 6 del medesimo art. 25 secondo il quale la Commissione europea può constatare che un Paese terzo garantisce un
livello di protezione adeguato ai sensi del citato paragrafo 2, ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali
della persona;
• Vista la decisione della Commissione europea del 26 luglio 2000 n. 2000/518/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità
europee L. 215 del 25 agosto 2000 e L. 115 del 25 aprile 2001) con la quale si è constatato che la Svizzera garantisce un livello adeguato
di protezione dei dati personali trasferiti dall’Unione europea;
• Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai
sensi del paragrafo 6 del citato art. 25 della direttiva;
• Visto l’art. 28 della Legge 31 dicembre 1996, n. 675 secondo cui il trasferimento dei dati personali all’estero può avvenire: a) qualora
l’ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di dati
sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall’ordinamento italiano; b) oppure, qualora ricorra
uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate
garanzie per i diritti dell’interessato, prestate anche con un contratto (comma 4, lett. g));
• Ritenuta la necessità di adottare una misura necessaria per l’applicazione della Decisione della Commissione in conformità al citato art.
28, nelle more del completamento del recepimento della citata direttiva n. 95/46/CE;
• Ritenuto che le disposizioni di rango costituzionale e le altre norme vigenti in Svizzera in materia di protezione dei dati personali,
valutate dalla Commissione e anche dal Gruppo delle autorità garanti europee di cui all’att. 29 della citata direttiva, prevedono diverse
garanzie per i diritti dell’interessato che in conformità al diritto comunitario vanno ritenute adeguate ai sensi del citato art. 28, comma 4,
lett. g);
• Rilevato che la Decisione della Commissione può essere adattata alla luce dell’esperienza acquisita nel corso della sua applicazione o di
innovazioni intervenute nell’ordinamento svizzero (art. 4);
• Visti gli articoli 2 e 3 della Decisione in tema di controlli e provvedimenti delle autorità di garanzia degli Stati membri sulla liceità e
correttezza dei trasferimenti e dei trattamenti di dati anteriori ai trasferimenti medesimi, anche in relazione a quanto previsto dall’articolo
4 della direttiva n. 95/46/CE sul diritto nazionale applicabile;
• Ritenuta la necessità di assicurare ulteriore pubblicità alla predetta Decisione disponendo la sua pubblicazione sulla Gazzetta Ufficiale
della Repubblica italiana in allegato alla presente autorizzazione;
• Vista la documentazione d’ufficio,
• Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dall’art. 15 del regolamento del Garante, n. 1/2000;
Relatore il prof. Gaetano Rasi;
TUTTO CIÒ PREMESSO IL GARANTE:
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso la Svizzera, in conformità a quanto previsto dalla Decisione
della Commissione europea del 26 luglio 2000 n. 2000/518/CE;
2) si riserva, in conformità alla normativa comunitaria, alla Legge n. 675/1996 e agli arti. 2 e 3 della Decisione della Commissione, di
svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento anteriori ai
trasferimenti medesimi, e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della Commissione all’Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
ALLEGATO
………………..
TRASFERIMENTO DATI IN UNGHERIA
Garante per la protezione dei dati personali
Deliberazione 17 ottobre 2001.
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso l’Ungheria, in conformità
a quanto previsto dalla decisione della Commissione europea del 26 luglio 2000, n. 2000/519/CE.
(Deliberazione n. 38).
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
• Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof.
Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
• Visto l’art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i
dati personali possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di
protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
• Visto il paragrafo 6 del medesimo art. 25 secondo il quale la Commissione europea può constatare che un Paese terzo garantisce un
livello di protezione adeguato ai sensi del citato paragrafo 2, ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali
della persona;
• Vista la decisione della Commissione europea del 26 luglio 2000 n. 2000/519/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità
europee L. 215 del 25 agosto 2000 e L. 115 del 25 aprile 2001) con la quale si è constatato che l’Ungheria garantisce un livello adeguato
di protezione dei dati personali trasferiti dall’Unione europea;
• Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai
sensi del paragrafo 6 del citato art. 25 della direttiva;
• Visto l’art. 28 della Legge 31 dicembre 1996, n. 675 secondo cui il trasferimento dei dati personali all’estero può avvenire: a) qualora
l’ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di dati
sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall’ordinamento italiano; b) oppure, qualora ricorra
uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate
garanzie per i diritti dell’interessato, prestate anche con un contratto (comma 4, lett. g);
• Ritenuta la necessità di adottare una misura necessaria per l’applicazione della Decisione della Commissione in conformità al citato art.
28, nelle more del completamento del recepimento della citata direttiva n. 95/46/CE;
• Ritenuto che le disposizioni di rango costituzionale e le altre norme vigenti in Ungheria in materia di protezione dei dati personali,
valutate dalla Commissione e anche dal Gruppo delle autorità garanti europee di cui all’att. 29 della citata direttiva, prevedono diverse
garanzie per i diritti dell’interessato che in conformità al diritto comunitario vanno ritenute adeguate ai sensi del citato art. 28, comma 4,
lett. g);
• Rilevato che la Decisione della Commissione può essere adattata alla luce dell’esperienza acquisita nel corso della sua applicazione o di
innovazioni intervenute nell’ordinamento ungherese (art. 4);
• Visti gli articoli 2 e 3 della Decisione in tema di controlli e provvedimenti delle autorità di garanzia degli Stati membri sulla liceità e
correttezza dei trasferimenti e dei trattamenti di dati anteriori ai trasferimenti medesimi, anche in relazione a quanto previsto dall’articolo
4 della direttiva n. 95/46/CE sul diritto nazionale applicabile;
• Ritenuta la necessità di assicurare ulteriore pubblicità alla predetta Decisione disponendo la sua pubblicazione sulla Gazzetta Ufficiale
della Repubblica italiana in allegato alla presente autorizzazione;
• Vista la documentazione d’ufficio,
• Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dall’art. 15 del regolamento del Garante, n. 1 /2000;
Relatore il prof. Gaetano Rasi;
TUTTO CIÒ PREMESSO IL GARANTE:
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso l’Ungheria, in conformità a quanto previsto dalla Decisione
della Commissione europea del 26 luglio 2000 n. 2000/519/CE;
2) si riserva, in conformità alla normativa comunitaria, alla Legge n. 675/ 1996 e agli arti. 2 e 3 della Decisione della Commissione, di
svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento anteriori ai
trasferimenti medesimi, e di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della Commissione all’Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
ALLEGATO
……………………
TRASFERIMENTO DATI IN CANADA
Garante per la protezione dei dati personali
Deliberazione del 30 aprile 2003
Autorizzazione al trasferimento di dati personali verso il Canada
(deliberazione n. 6)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del Prof. Stefano Rodotà, presidente, del Prof. Giuseppe Santaniello, vice-presidente, del Prof. Gaetano
Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 25, paragrafi nn. 1 e 2, della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i
dati personali possono essere trasferiti in un Paese non appartenente all'Unione europea qualora il Paese terzo garantisca un livello di
protezione adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
Visto il paragrafo 6 del medesimo art. 25 secondo il quale la Commissione europea può constatare che un Paese terzo garantisce un livello
di protezione adeguato ai sensi del citato pararafo 2, ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della
persona;
Vista la decisione della Commissione europea del 20 dicembre 2001 n. 2002/2/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità
europee L 2/13 del 4 gennaio 2002) con la quale si è constatato che il Canada garantisce un livello adeguato di protezione dei dati
personali trasferiti dall'Unione europea ai destinatari soggetti alla legge canadese sulla tutela delle informazioni personali e sui documenti
elettronici ("the Canadian Act") del 13 aprile 2000;
Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi
del paragrafo 6 del citato art. 25 della direttiva;
Visto l'art. 28 della legge 31 dicembre 1996, n. 675, come modificato dall'art. 10 del decreto legislativo 28 dicembre 2001, n. 467, secondo
cui il trasferimento dei dati personali all'estero può avvenire:
a) qualora l'ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato o, se si tratta di
dati sensibili o di taluni dati di carattere giudiziario, di grado pari a quello assicurato dall'ordinamento italiano; b) oppure, qualora ricorra
uno dei casi previsti nel comma 4 del medesimo articolo; c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate
garanzie per i diritti dell'interessato, prestate anche con un contratto, ovvero individuate dalla Commissione europea con le decisioni
previste dagli art. 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995 (comma
4, lett. g));
Ritenuta la necessità di adottare una misura necessaria per l'applicazione della Decisione della Commissione in conformità al citato art. 28,
comma 4, lett. g);
Visti il considerando (5) della Decisione della Commissione sull'ambito di applicazione della legge canadese e sulle tre fasi previste per
l'entrata in vigore della stessa legge, nonché i considerando (6) e (7) circa la successiva approvazione di legislazioni sulla riservatezza dei
dati da parte di province canadesi;
Rilevato che la Decisione della Commissione può essere modificata in ogni momento alla luce dell'esperienza acquisita nel corso della sua
applicazione o di emendamenti apportati alla legislazione canadese, compresi provvedimenti che riconoscano che una provincia canadese
dispone di una legislazione sostanzialmente simile (art. 4);
Visti gli articoli 2 e 3 della Decisione in tema di controlli e provvedimenti delle autorità di garanzia degli Stati membri sulla liceità e
correttezza dei trasferimenti e dei trattamenti di dati anteriori ai trasferimenti medesimi, anche in relazione a quanto previsto dall'articolo 4
della direttiva n. 95/46/CE sul diritto nazionale applicabile;
Ritenuta la necessità di assicurare ulteriore pubblicità alla predetta Decisione disponendo la sua pubblicazione sulla Gazzetta Ufficiale
della Repubblica italiana in allegato alla presente autorizzazione;
Vista la documentazione d'ufficio;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;
Relatore il prof. Stefano Rodotà;
TUTTO CIÒ PREMESSO IL GARANTE:
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni del settore privato, aventi sede in Canada, nei cui
confronti si applica la legge canadese sulla tutela delle informazioni personali e sui documenti elettronici ("the Canadian Act") del 13
aprile 2000, in conformità a quanto previsto alla Decisione della Commissione europea del 20 dicembre 2001 n. 2002/2/CE;
2) si riserva, in conformità alla normativa comunitaria, alla legge n. 675/1996 e all'art. 3 della Decisione della Commissione, di svolgere i
necessari controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento anteriori ai trasferimenti medesimi, e
di adottare eventuali provvedimenti di blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e dell'allegata decisione della Commissione all'Ufficio pubblicazione leggi e decreti
del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 30 aprile 2003
IL PRESIDENTE
Rodotà
IL RELATORE
Rodotà
IL SEGRETARIO GENERALE
Buttarelli
ALLEGATO
………………..
TRASFERIMENTO DATI VERSO RESPONSABILI IN PAESI TERZI
Garante per la protezione dei dati personali
Deliberazione 10 aprile 2002
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso responsabili del
trattamento residenti in Paesi terzi, in conformità a quanto previsto dalla decisione della Commissione
europea del 27 dicembre 2001, n. 2002/16/CE. (Deliberazione n. 3). (Gazzetta Ufficiale n.105 del 7.5.2002)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano
Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
• Visto l’art. 25 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati personali
possono essere trasferiti in un Paese non appartenente all’Unione europea qualora il Paese terzo garantisca un livello di protezione
adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
• Visto l’art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato
membro possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un Paese terzo che non garantisce un
livello di protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e
delle libertà fondamentali delle persone, nonchè per l’esercizio dei diritti connessi, risultanti anche da clausole contrattuali appropriate;
• Visto il comma 4 del medesimo art. 26 sulle decisioni della Commissione europea in materia di clausole contrattuali tipo;
• Vista la decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/CE (pubblicata nella Gazzetta Ufficiale delle Comunità
europee L 6/52 del 10 gennaio 2002) secondo la quale alcune clausole contrattuali tipo, allegate alla medesima decisione, costituiscono
garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonchè per l’esercizio dei diritti
connessi, in caso di trasferimento di dati personali a responsabili del trattamento residenti in Paesi terzi, a norma degli articoli 17,
paragrafo 3, e 26, paragrafo 2, della direttiva 95/46/CE;
• Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai
sensi del paragrafo 4 del citato art. 26 della direttiva;
• Visto l’art. 28 della Legge 31 dicembre 1996, n. 675, come modificato dall’art. 10 del decreto legislativo 28 dicembre 2001, n. 467,
secondo cui il trasferimento dei dati personali all’estero può avvenire:
a) qualora l’ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato;
b) oppure, qualora ricorra uno dei casi previsti nel comma 4 del medesimo articolo;
c) in ogni caso, qualora sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato, prestate anche con un
contratto, ovvero individuate dalla Commissione europea con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della
direttiva n. 95/46/CE del Parlamento e del Consiglio del 24 ottobre 1995 (comma 4, lettera g);
• Vista la deliberazione n. 35 del 10 ottobre 2001 con la quale questa Autorità ha autorizzato il trasferimento di dati personali dal territorio
dello Stato verso Paesi non appartenenti all’Unione europea in conformità alle clausole contrattuali tipo di cui all’allegato alla decisione
della Commissione europea del 15 giugno 2001, n. 2001/497/CE;
• Ritenuto che le nuove clausole contrattuali tipo, che sono state articolate dalla Commissione in undici clausole e due appendici anche
sulla base del parere favorevole del Gruppo delle autorità garanti europee di cui all’art. 29 della citata direttiva, prevedono alcune
garanzie per i diritti dell’interessato da ritenere adeguate ai sensi del citato art. 28, comma 4, lettera g);
• Considerato che i soggetti che utilizzano le citate clausole contrattuali possono prevedere ulteriori garanzie per le persone cui si
riferiscono i dati, rispetto alle garanzie minime previste dalle clausole medesime;
• Rilevato che la decisione della Commissione riguarda unicamente i trasferimenti di dati effettuati a partire dal territorio dello Stato da un
titolare del trattamento avente sede nella Comunità (soggetto esportatore) ad un responsabile del medesimo trattamento (soggetto
importatore) residente in un Paese terzo che non assicura un livello di protezione adeguato, e che la citata decisione n. 2001/497/CE
della Commissione ha già individuato le clausole contrattuali tipo per i trasferimenti di dati effettuati da un titolare del trattamento
avente sede nella Comunità ad un diverso titolare del trattamento residente al di fuori della Comunità medesima;
• Ritenuta la necessità di assicurare ulteriore pubblicità alle predette clausole contrattuali tipo, disponendo la loro pubblicazione nella
Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;
• Ritenuta la necessità di formulare nel dispositivo alcune precisazioni nell’esercizio dei compiti demandati a questa Autorità richiamati
anche dalla citata decisione della Commissione, nei limiti necessari per la prima fase di applicazione del presente provvedimento;
• Ritenuto di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il ruolo di mediazione previsto dalla clausola n. 7,
paragrafo 1, lettera a) della decisione;
• Riservata la specificazione di ulteriori criteri e modalità in base all’esperienza maturata nell’utilizzazione delle clausole, anche in sede
comunitaria;
• Vista la documentazione d’ufficio;
• Viste le osservazioni dell’ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante, n.1/2000;
Relatore il prof. Gaetano Rasi;
TUTTO CIÒ PREMESSO IL GARANTE
1) autorizza i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all’Unione europea, effettuati sulla base
e in conformità alle clausole contrattuali tipo di cui all’allegato alla decisione della Commissione europea del 27 dicembre 2001, n.
2002/16/CE, con effetto dal 3 aprile 2002 e sulla base dei seguenti presupposti:
a) il soggetto esportatore e il soggetto importatore devono richiamare o incorporare le clausole nei contratti relativi al trasferimento dei
dati in modo da renderle riconoscibili anche alle persone cui si riferiscono i dati e che chiedano di averne conoscenza, provvedendo a
rendere conoscibile su richiesta di queste ultime anche una descrizione generale delle misure di sicurezza adottate, ed evitando altresì la
previsione di clausole limitative o incompatibili (clausole numeri 4, lettera h) e 5, lettera g);
considerando alla decisione n. 4);
b) la copia del contratto relativo al trasferimento e le altre informazioni necessarie devono essere fornite al Garante solo a richiesta di
questa Autorità (clausola n. 8 e art. 32, comma 1, Legge n. 675/1996);
c) deve essere comunicata al Garante la scelta che è stata effettuata in caso di controversia non risolta in via amichevole e sottoposta
all’esame di un soggetto diverso dal Garante o dall’autorità giudiziaria (clausola n. 7, par. 2 e par. 1, lettera a);
2) si riserva, in conformità alla normativa comunitaria, alla Legge n. 675/1996 e all’art. 4 della decisione della Commissione, di svolgere i
necessari controlli sulla liceità e correttezza dei trasferimenti di dati e delle operazioni di trattamento, e di adottare eventuali
provvedimenti di blocco o di divieto di trasferimento;
3) dispone la trasmissione del presente provvedimento e dell’allegata decisione della Commissione all’Ufficio pubblicazione leggi e
decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
ALLEGATO
TRASFERIMENTO DATI VERSO PAESI TERZI
NUOVE CLAUSOLE CONTRATTUALI – TIPO
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 9 GIUGNO 2005 N. 12
Trasferimento dei dati personali all'estero - autorizzazione al trasferimento di dati personali dal territorio dello
stato verso paesi terzi - 9 giugno 2005 (G.U. n. 171 del 25 luglio 2005)
Registro delle deliberazioni
n. 12 del 9 giugno 2005
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del Prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice-presidente, del dott.
Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 25, paragrafi 1 e 2, della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 secondo cui i dati
personali possono essere trasferiti in un paese non appartenente all'Unione europea qualora il paese terzo garantisca un livello di protezione
adeguato, secondo quanto previsto nel paragrafo 2 del medesimo articolo;
Visto l'art. 26 della predetta direttiva il quale individua alcune deroghe al menzionato principio, prevedendo anche che uno Stato membro
possa autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisce un livello di
protezione adeguato, qualora il titolare del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà
fondamentali delle persone, nonché per l'esercizio dei diritti connessi, risultanti anche da clausole contrattuali appropriate;
Visto il paragrafo 4 del medesimo art. 26 relativo alle decisioni della Commissione europea in materia di clausole contrattuali tipo;
Rilevato che la Commissione europea, con la decisione del 15 giugno 2001, n. 2001/497/CE, ha individuato un primo insieme di clausole
contrattuali tipo, allegate alla medesima decisione, che costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e delle
libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi in caso di trasferimento di dati personali verso paesi terzi a
norma della direttiva 95/46/CE;
Vista la decisione della Commissione europea del 27 dicembre 2004, n. 2004/915/CE (pubblicata sulla Gazzetta Ufficiale delle Comunità
europee L 385/74 del 29 dicembre 2004) che modifica la citata decisione della Commissione n. 2001/497/CE introducendo un insieme
alternativo di clausole contrattuali tipo, allegate alla medesima decisione, che secondo la Commissione costituiscono anch'esse garanzie
sufficienti ai fini della tutela della riservatezza, dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti
connessi in caso di trasferimento di dati personali verso paesi terzi a norma della direttiva 95/46/CE;
Considerato che gli Stati membri europei devono adottare le misure necessarie per conformarsi alla decisione della Commissione, ai sensi
del paragrafo 4, del citato art. 26 della direttiva;
Visti gli artt. 43, 44 e 45 del Codice in materia di protezione dei dati personali (d.lg. n. 196/2003), secondo i quali il trasferimento dei dati
personali diretto verso paesi non appartenenti all'Unione europea può avvenire qualora ricorra uno dei casi previsti dall'art. 43 oppure, ai
sensi degli artt. 44, comma 1 e 45, quando sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a)
individuate dalla medesima Autorità anche in relazione a garanzie prestate con un contratto; b) individuate con le decisioni della
Commissione previste dagli artt. 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE; c) altrimenti, fuori dai casi di cui agli artt. 43
e 44, qualora l'ordinamento dello Stato di destinazione o di transito dei dati assicuri un livello di tutela delle persone adeguato nei termini
di cui all'art. 45;
Vista la deliberazione n. 35 del 10 ottobre 2001 con la quale questa Autorità ha autorizzato il trasferimento di dati personali dal territorio
dello Stato verso paesi non appartenenti all'Unione europea in conformità alle clausole contrattuali tipo di cui all'allegato alla decisione
della Commissione n. 2001/497/CE, ora denominato "Insieme I" ai sensi dell'art. 1, paragrafo 4, della decisione della Commissione n.
2004/915/CE;
Ritenuto che le clausole contrattuali tipo, contenute nell'"Insieme II" dell'allegato alla decisione n. 2004/915/CE, su cui si è espressa la
Commissione, prevedono alcune garanzie per i diritti dell'interessato da ritenere adeguate ai sensi del citato art. 44, comma 1, lett. b);
Rilevato che la decisione della Commissione riguarda unicamente l'adeguatezza della tutela dei dati garantita dall'uso delle clausole
contrattuali tipo in caso di trasferimenti di dati effettuati a partire dal territorio dello Stato da un titolare del trattamento avente sede nella
Comunità (soggetto esportatore) ad un diverso titolare del trattamento (soggetto importatore) residente in un paese terzo che non assicura
un livello di protezione adeguato;
Rilevato che i soggetti che intendono utilizzare le clausole contrattuali tipo possono optare per uno degli insiemi di clausole —I o II—
contenuti nell'allegato alla decisione della Commissione n. 2001/497/CE, così come modificato dall'art. 1 della decisione n. 2004/915/CE;
Considerato che i soggetti che utilizzano le citate clausole non possono modificarle, né combinare singole clausole, né gli insiemi citati;
Ritenuta la necessità di assicurare ulteriore pubblicità alle clausole contrattuali tipo di cui all' "Insieme II", disponendo la loro
pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana in allegato alla presente autorizzazione;
Ritenuta la necessità di formulare alcune prescrizioni inerenti alle informazioni da fornire a questa Autorità in relazione ai compiti ad essa
affidati e richiamati dalla citata decisione della Commissione, nei limiti necessari per la prima fase di applicazione del presente
provvedimento e nei termini di cui al seguente dispositivo;
Ritenuto di dover riservare la scelta del Garante di svolgere o meno, caso per caso, il ruolo di mediazione previsto dalla clausola V, lett. b),
della decisione n. 2004/915/CE;
Riservata la specificazione di ulteriori criteri e modalità in base all'esperienza maturata nell'utilizzazione delle clausole, anche in sede
comunitaria;
Vista la documentazione d'ufficio;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;
TUTTO CIÒ PREMESSO IL GARANTE:
1) fatta salva l'applicazione delle ulteriori disposizioni previste dal Codice in materia di protezione dei dati personali, autorizza, con effetto
dal 1° aprile 2005, i trasferimenti di dati personali dal territorio dello Stato verso paesi non appartenenti all'Unione europea, effettuati in
conformità alle clausole contrattuali tipo di cui all'allegato alla decisione della Commissione europea del 27 dicembre 2004, n.
2004/915/CE e sulla base dei presupposti indicati nella medesima decisione;
2) dispone che:
a) la copia del contratto relativo al trasferimento e le altre informazioni necessarie devono essere fornite al Garante solo su sua richiesta
(clausola I, lett. e), e art. 157 del Codice);
b) deve essere comunicata al Garante la scelta che è stata effettuata in caso di controversia non risolta in via amichevole e sottoposta
all'esame di un soggetto diverso dal Garante o dall'autorità giudiziaria (clausola V, e art. 157 del Codice);
3) si riserva di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e di adottare eventuali provvedimenti di
blocco o di divieto di trasferimento in conformità al Codice in materia di protezione dei dati personali ed alla normativa comunitaria (art. 4
della decisione della Commissione n. 2001/497/CE, come modificato dall'art. 1, paragrafo 2, della decisione n. 2004/915/CE);
4) dispone la trasmissione del presente provvedimento e dell'allegata decisione della Commissione all'Ufficio pubblicazione leggi e decreti
del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 9 giugno 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
IL SEGRETARIO GENERALE
Buttarelli
Allegato:
Decisione della Commissione del 27 dicembre 2004
che modifica la decisione 2001/497/CE
per quanto riguarda l'introduzione di un insieme alternativo
di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi
Decisione della Commissione
del 5 febbraio 2010
relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento
stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell’Unione europea,
vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati [1], in particolare l’articolo 26, paragrafo 4,
sentito il garante europeo della protezione dei dati,
considerando quanto segue:
(1) In base alla direttiva 95/46/CE, gli Stati membri devono provvedere affinché il trasferimento di dati personali verso un paese terzo
possa avere luogo soltanto se il paese terzo di cui trattasi garantisce un livello adeguato di protezione dei dati e se vengono osservate,
previamente al trasferimento, le disposizioni adottate dagli Stati membri in attuazione di altre norme della direttiva.
(2) L’articolo 26, paragrafo 2, della direttiva 95/46/CE prevede che gli Stati membri possano autorizzare, subordinatamente a talune
garanzie, il trasferimento di dati personali verso paesi terzi che non garantiscono un livello adeguato di protezione dei dati. Tali garanzie
possono segnatamente risultare da clausole contrattuali appropriate.
(3) A norma della direttiva 95/46/CE, il livello di protezione dei dati deve essere valutato con riguardo a tutte le circostanze relative al
trasferimento. Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali costituito in forza della direttiva
ha elaborato una serie di orientamenti per tale valutazione.
(4) È opportuno che le clausole contrattuali tipo riguardino soltanto la protezione dei dati. Gli esportatori e gli importatori dei dati sono
pertanto liberi di inserire qualsiasi altra clausola commerciale ritenuta pertinente ai fini del contratto, purché non incompatibile con le
clausole tipo.
(5) La presente decisione non deve incidere sulle autorizzazioni nazionali che gli Stati membri possono concedere in base alle disposizioni
nazionali adottate in attuazione dell’articolo 26, paragrafo 2, della direttiva 95/46/CE. Essa deve semplicemente prevedere che gli Stati
membri riconoscono come garanzie sufficienti le clausole contrattuali tipo in essa contenute e non deve produrre effetti sulle clausole
contrattuali di altra natura.
(6) La decisione 2002/16/CE della Commissione, del 27 dicembre 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati
personali a incaricati del trattamento residenti in paesi terzi, a norma della direttiva 95/46/CE [2], è stata adottata per agevolare il
trasferimento di dati personali da responsabili del trattamento stabiliti nell’Unione europea a incaricati del trattamento stabiliti in paesi terzi
che non garantiscono un livello di protezione adeguato.
(7) È stata acquisita molta esperienza da quando è stata adottata la decisione 2002/16/CE. Dalla relazione sull’applicazione delle decisioni
relative alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi [3] è per giunta emerso un interesse crescente
per l’uso delle clausole contrattuali tipo nei trasferimenti internazionali di dati personali verso paesi terzi che non garantiscono un livello di
protezione adeguato. Le parti interessate hanno poi presentato proposte per aggiornare le clausole contrattuali tipo della decisione
2002/16/CE affinché tengano conto dell’ambito in rapida espansione nel mondo delle attività di trattamento dei dati e affrontino questioni
che tale decisione non ricomprende [4].
(8) La presente decisione deve limitarsi a stabilire che il responsabile del trattamento stabilito nell’Unione europea può avvalersi delle
clausole da quella previste per presentare garanzie sufficienti, ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE, per il
trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.
(9) La presente decisione non si applica al trasferimento di dati personali da responsabili del trattamento stabiliti nell’Unione europea a
responsabili del trattamento stabiliti al di fuori dell’Unione europea, che rientra invece nel campo di applicazione della decisione
2001/497/CE della Commissione, del 15 giugno 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati a caratteri
personale verso paesi terzi a norma della direttiva 95/46/CE [5].
(10) La presente decisione deve attuare l’articolo 17, paragrafo 3, della direttiva 95/46/CE e non deve pregiudicare il contenuto dei
contratti o degli atti giuridici adottati in forza di quella disposizione. Appare tuttavia opportuno prevedere determinate clausole tipo,
riguardanti in particolare gli obblighi dell’esportatore, affinché vi sia maggiore chiarezza sulle disposizioni che possono essere inserite nei
contratti fra i responsabili e gli incaricati del trattamento.
(11) Le autorità di controllo degli Stati membri svolgono un ruolo fondamentale in tale ambito contrattuale garantendo che i dati personali
siano adeguatamente tutelati in seguito al trasferimento. Nei casi eccezionali in cui gli esportatori si rifiutino o non siano in grado di
impartire le istruzioni necessarie agli importatori, e le persone cui si riferiscono i dati siano esposte ad un imminente rischio di gravi danni,
le clausole tipo devono consentire alle autorità di controllo di vigilare sugli importatori e sui subincaricati e di adottare, se del caso,
decisioni vincolanti nei loro confronti. Le autorità di controllo devono avere la facoltà di vietare o sospendere i trasferimenti di dati
effettuati in base alle clausole contrattuali tipo nei casi eccezionali in cui il trasferimento su base contrattuale rischi di pregiudicare le
garanzie e gli obblighi destinati a garantire protezione adeguata agli interessati.
(12) Le clausole contrattuali tipo devono prevedere le misure tecniche e organizzative di sicurezza che è tenuto ad applicare l’incaricato del
trattamento stabilito in un paese terzo che non garantisce un livello di protezione adeguato, affinché il livello di sicurezza sia commisurato
ai rischi inerenti al trattamento e alla natura dei dati da tutelare. Nel contratto le parti devono prevedere le misure tecniche e organizzative
necessarie che, tenuto conto della normativa sulla protezione dei dati, della più recente tecnologia e dei costi di attuazione, sono necessarie
a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall’alterazione, dalla
diffusione o dall’accesso non autorizzati, o da qualsiasi altra forma illecita di trattamento di dati personali.
(13) Onde agevolare i flussi di dati in uscita dall’Unione europea è auspicabile che gli incaricati del trattamento che effettuano operazioni
di trattamento per più responsabili nell’Unione europea siano autorizzati ad applicare le stesse misure tecniche e organizzative di sicurezza
indipendentemente dallo Stato membro da cui è effettuato il trasferimento, in particolare nel caso in cui l’importatore riceva i dati ai fini
dell’ulteriore trattamento da diverse sedi dell’esportatore situate nell’Unione europea. In questa ipotesi deve applicarsi la legge dello Stato
membro di stabilimento designato.
(14) È opportuno definire le informazioni minime che le parti devono includere nel contratto relativo al trasferimento. Gli Stati membri
hanno comunque la facoltà di precisare le informazioni che le parti sono tenute a fornire. Le modalità di applicazione della presente
decisione andranno valutate alla luce dell’esperienza futura.
(15) L’importatore è tenuto a trattare i dati personali trasferiti esclusivamente per conto dell’esportatore e in conformità delle istruzioni da
questi impartite, nonché in ottemperanza agli obblighi stabiliti dalle clausole stesse. L’importatore deve astenersi segnatamente dal rivelare
i dati personali a terzi, salvo previo consenso scritto dell’esportatore. L’esportatore è tenuto a trasmettere opportune istruzioni
all’importatore per tutta la durata delle operazioni di trattamento affinché i dati siano trattati conformemente alle istruzioni impartite, alla
normativa sulla protezione dei dati e agli obblighi contenuti nelle clausole tipo.
(16) La relazione sull’applicazione delle decisioni relative alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi
terzi raccomanda di adottare apposite clausole contrattuali tipo sui trasferimenti successivi da incaricati del trattamento stabiliti in paesi
terzi ad altri incaricati del trattamento (subcontratto), affinché tengano conto delle tendenze e delle pratiche commerciali di un’attività di
trattamento sempre più globalizzata.
(17) È opportuno che la presente decisione contenga specifiche clausole contrattuali tipo sul subcontratto stipulato da incaricati stabiliti in
paesi terzi (importatori) con altri incaricati del trattamento (subincaricati) stabiliti in paesi terzi. È altresì opportuno che fissi le condizioni
del subcontratto affinché i dati personali trasferiti continuino ad essere protetti nonostante il trasferimento successivo al subincaricato.
(18) È inoltre opportuno che il subcontratto riguardi solo i trattamenti previsti nel contratto contenente le clausole contrattuali tipo di cui
alla presente decisione, concluso tra l’esportatore e l’importatore, e non comporti trattamenti o finalità diversi, così da garantire il rispetto
del principio di finalità sancito dalla direttiva 95/46/CE. Nell’ipotesi poi che il subincaricato non adempia agli obblighi contemplati dal
contratto, l’importatore deve rimanere responsabile nei confronti dell’esportatore. Il trasferimento di dati personali a incaricati del
trattamento stabiliti al di fuori dell’Unione europea deve lasciare impregiudicato il fatto che le attività di trattamento debbano essere
conformi alla normativa sulla protezione dei dati.
(19) È opportuno che le clausole contrattuali tipo possano essere fatte valere non solo dalle organizzazioni che stipulano il contratto ma
anche dalle persone cui si riferiscono i dati, in particolare laddove l’eventuale violazione del contratto rechi ad esse pregiudizio.
(20) L’interessato deve poter agire in giudizio, anche ai fini del risarcimento dei danni, nei confronti dell’esportatore che è il responsabile
del trattamento dei dati personali trasferiti. Eccezionalmente l’interessato deve poter agire in giudizio, anche ai fini del risarcimento dei
danni, nei confronti dell’importatore per violazione da parte di questi o di un suo subincaricato degli obblighi stabiliti dalla clausola 3,
paragrafo 2, qualora l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente.
Eccezionalmente l’interessato deve potere agire in giudizio, anche ai fini del risarcimento dei danni, nei confronti del subincaricato qualora
sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi. La
responsabilità civile del subincaricato deve essere limitata ai trattamenti da quello effettuati ai sensi delle clausole contrattuali.
(21) Nelle controversie sorte con interessati che si avvalgano della clausola del terzo beneficiario, l’importatore, ove non sia possibile la
composizione in via amichevole, deve consentire all’interessato di scegliere fra la mediazione o l’azione legale. L’effettiva possibilità di
scelta dipenderà dall’esistenza di sistemi di mediazione affidabili e riconosciuti. La mediazione ad opera delle autorità di controllo dello
Stato membro in cui è stabilito l’esportatore deve essere facoltativa, sempre che dette autorità prestino tale servizio.
(22) Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito l’esportatore, in modo che il terzo beneficiario possa
far valere le disposizioni contrattuali. È opportuno che le persone cui si riferiscono i dati possano essere rappresentate da associazioni o
altre organizzazioni, qualora lo desiderino e qualora ciò sia ammesso dalla normativa nazionale. La stessa legge deve inoltre applicarsi alle
disposizioni sulla protezione dei dati contemplate dal contratto concluso con il subincaricato per il trattamento dei dati personali trasferiti
dall’esportatore all’importatore ai sensi delle clausole contrattuali.
(23) La presente decisione si applica solo ove l’incaricato del trattamento stabilito in un paese terzo affidi il trattamento a un subincaricato
stabilito in un paese terzo e non ai casi in cui l’incaricato del trattamento stabilito nell’Unione europea, che tratta dati personali per conto
di un responsabile stabilito nell’Unione europea, affidi il trattamento a un subincaricato stabilito in un paese terzo. In tali situazioni è
facoltà degli Stati membri tenere conto del fatto che alla decisione di affidare il trattamento a un subincaricato stabilito in un paese terzo
presiedono i principi e le garanzie delle clausole contrattuali tipo di cui alla presente decisione, nell’intento di garantire protezione
adeguata ai diritti degli interessati i cui dati personali sono trasferiti per il trattamento.
(24) Il gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali, istituito in forza dell’articolo 29 della
direttiva 95/46/CE, ha emesso un parere sul livello di protezione garantito dalle clausole contrattuali tipo allegate alla presente decisione,
di cui si è tenuto conto nella stesura della decisione stessa.
(25) Occorre abrogare la decisione 2002/16/CE.
(26) Le misure previste dalla presente decisione sono conformi al parere del comitato istituito in forza dell’articolo 31 della direttiva
95/46/CE,
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Le clausole contrattuali tipo riportate in allegato costituiscono garanzie sufficienti per la tutela della vita privata e dei diritti e della libertà
fondamentali delle persone, nonché per l’esercizio dei diritti connessi ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE.
Articolo 2
La presente decisione concerne esclusivamente l’adeguatezza della tutela conferita dalle clausole contrattuali tipo per il trasferimento di
dati personali a incaricati del trattamento, riportate in allegato. Essa lascia impregiudicata l’applicazione delle disposizioni nazionali sul
trattamento dei dati personali negli Stati membri adottate in attuazione della direttiva 95/46/CE.
La presente decisione si applica al trasferimento dei dati personali effettuato da responsabili del trattamento stabiliti nell’Unione europea a
destinatari stabiliti al di fuori dell’Unione europea che agiscano esclusivamente in veste di incaricati del trattamento.
Articolo 3
Ai fini della presente decisione si intende per:
a) "categorie particolari di dati" i dati di cui all’articolo 8 della direttiva 95/46/CE;
b) "autorità di controllo" l’autorità di cui all’articolo 28 della direttiva 95/46/CE;
c) "esportatore" il responsabile del trattamento che trasferisce i dati personali;
d) "importatore" l’incaricato del trattamento stabilito in un paese terzo che s’impegni a ricevere dall’esportatore dati personali al fine di
trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma della presente decisione, e che non sia assoggettato dal
paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE;
e) "subincaricato" l’incaricato del trattamento designato dall’importatore o da altro suo subincaricato, che s’impegni a ricevere
dall’importatore o da altro suo subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore, nonché
a norma delle clausole contrattuali tipo di cui in allegato e delle disposizioni del subcontratto scritto;
f) "normativa sulla protezione dei dati" la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al
rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui
è stabilito l’esportatore;
g) "misure tecniche e organizzative di sicurezza" le misure destinate a garantire la protezione dei dati personali dalla distruzione
accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il
trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
Articolo 4
1. Fatto salvo il potere di provvedere all’osservanza delle disposizioni nazionali adottate in attuazione dei capi II, III, V e VI della direttiva
95/46/CE, le autorità competenti degli Stati membri possono avvalersi dei poteri loro attribuiti per vietare o sospendere i flussi di dati verso
paesi terzi allo scopo di proteggere le persone con riguardo al trattamento dei dati personali, qualora:
a) sia accertato che, in base alla legge ad esso applicabile, l’importatore o il subincaricato è tenuto ad applicare deroghe alla normativa
sulla protezione dei dati che eccedono le restrizioni ritenute necessarie in una società democratica ai sensi dell’articolo 13 della direttiva
95/46/CE e pregiudicano significativamente le garanzie previste dalla normativa sulla protezione dei dati e dalle clausole contrattuali tipo;
b) un’autorità competente abbia accertato che l’importatore o il subincaricato non ha rispettato le clausole contrattuali tipo riportate in
allegato; oppure
c) sia probabile che le clausole contrattuali tipo in allegato non vengano rispettate e che la prosecuzione del trasferimento determini un
imminente rischio di gravi danni per le persone cui i dati si riferiscono.
2. Il divieto o la sospensione ai sensi del paragrafo 1 sono revocati non appena ne vengano meno le ragioni.
3. Quando prende i provvedimenti di cui ai paragrafi 1 e 2, lo Stato membro informa senza indugio la Commissione; questa trasmette
l’informazione agli altri Stati membri.
Articolo 5
Decorsi tre anni dall’adozione della presente decisione, la Commissione ne valuta le modalità di applicazione sulla base delle informazioni
disponibili. Essa riferisce in merito alle risultanze della valutazione al comitato istituito in forza dell’articolo 31 della direttiva 95/46/CE.
La relazione comprende qualsiasi circostanza rilevante ai fini della valutazione dell’adeguatezza delle clausole contrattuali tipo riportate in
allegato nonché qualsiasi eventuale circostanza indicante che la presente decisione viene applicata in maniera discriminatoria.
Articolo 6
La presente decisione si applica a decorrere dal 15 maggio 2010.
Articolo 7
1. La decisione 2002/16/CE è abrogata a decorrere dal 15 maggio 2010.
2. Il contratto concluso tra l’esportatore e l’importatore ai sensi della decisione 2002/16/CE prima del 15 maggio 2010 resta valido ed
efficace purché rimangano immutati i trasferimenti e il trattamento dei dati che ne costituiscono l’oggetto e purché continui tra le parti il
trasferimento dei dati personali contemplati dalla presente decisione. Qualora decidano di apportare modifiche ovvero decidano di
subcontrattare il trattamento oggetto del contratto, i contraenti sono tenuti a concludere un nuovo contratto che dovrà conformarsi alle
clausole contrattuali tipo riportate in allegato.
Articolo 8
Gli Stati membri sono destinatari della presente decisione.
Fatto a Bruxelles, il 5 febbraio 2010.
Per la Commissione
Jacques Barrot
Vicepresidente
[1] GU L 281 del 23.11.1995, pag. 31.
[2] GU L 6 del 10.1.2002, pag. 52.
[3] SEC(2006) 95 del 20.1.2006.
[4] Camera di commercio internazionale (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of
Commerce in Belgium (Amcham) e Federation of European Direct Marketing Associations (FEDMA).
[5] GU L 181 del 4.7.2001, pag. 19.
-------------------------------------------------ALLEGATO
CLAUSOLE CONTRATTUALI TIPO ("INCARICATI DEL TRATTAMENTO")
Ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in
paesi terzi che non garantiscono un livello adeguato di protezione dei dati
Nome dell’organizzazione esportatrice: …
Indirizzo: …
Tel. …; Fax …; E-mail: …
Altre informazioni identificative:
…
("l’esportatore")
e
Nome dell’organizzazione importatrice: …
Indirizzo: …
Tel. …; Fax …; E-mail: …
Altre informazioni identificative:
…
("l’importatore")
denominato ciascuno "parte" e congiuntamente "parti",
HANNO CONVENUTO le seguenti clausole contrattuali ("le clausole") al fine di prestare garanzie sufficienti con riguardo alla tutela della
vita privata e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall’esportatore all’importatore dei dati personali
indicati nell’appendice 1.
Clausola 1
Definizioni
Ai fini delle presenti clausole:
a) I termini "dati personali", "categorie particolari di dati", "trattamento", "responsabile del trattamento", "incaricato del trattamento",
"interessato/persona interessata" e "autorità di controllo" hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento
europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché
alla libera circolazione di tali dati [1];
b) con "esportatore" s’intende il responsabile del trattamento che trasferisce i dati personali;
c) con "importatore" s’intende l’incaricato del trattamento stabilito in un paese terzo che s’impegni a ricevere dall’esportatore dati
personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma delle presenti clausole, e che non sia
assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva
95/46/CE;
d) con "subincaricato" s’intende l’incaricato del trattamento designato dall’importatore o da altro suo subincaricato, che s’impegni a
ricevere dall’importatore o da altro suo subincaricato dati personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore,
nonché a norma delle presenti clausole e del subcontratto scritto;
e) con "normativa sulla protezione dei dati" si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare
il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato
membro in cui è stabilito l’esportatore;
f) con "misure tecniche e organizzative di sicurezza" s’intendono le misure destinate a garantire la protezione dei dati personali dalla
distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente
quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
Clausola 2
Particolari del trasferimento
I particolari del trasferimento, segnatamente le categorie particolari di dati personali, sono indicati nell’appendice 1 che costituisce parte
integrante delle presenti clausole.
Clausola 3
Clausola del terzo beneficiario
1. L’interessato può far valere, nei confronti dell’esportatore, la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a)
ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo
beneficiario.
2. L’interessato può far valere, nei confronti dell’importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la
clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l’esportatore sia scomparso di fatto o abbia giuridicamente cessato di
esistere, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di
conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del
successore.
3. L’interessato può far valere, nei confronti del subincaricato, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la
clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano
giuridicamente cessato di esistere o siano divenuti insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per
contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato
può far valere le suddette clausole nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello
effettuati ai sensi delle presenti clausole.
4. Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza
corrisponda alla esplicita volontà dell’interessato e sia ammessa dalla legislazione nazionale.
Clausola 4
Obblighi dell’esportatore
L’esportatore dichiara e garantisce quanto segue:
a) che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti
disposizioni della normativa sulla protezione dei dati (e viene comunicato, se del caso, alle competenti autorità dello Stato membro in cui è
stabilito l’esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;
b) che ha prescritto all’importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali
trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;
c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice
2;
d) che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla
distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente
quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali,
e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto
conto della più recente tecnologia e dei costi di attuazione;
e) che provvederà all’osservanza delle misure di sicurezza;
f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o
immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata
ai sensi della direttiva 95/46/CE;
g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5,
lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;
h) che fornirà, su richiesta degli interessati, copia delle presenti clausole, esclusa l’appendice 2, e una descrizione generale delle misure di
sicurezza, nonché copia dei subcontratti aventi ad oggetto il trattamento da effettuarsi in conformità delle presenti clausole, omettendo le
informazioni commerciali eventualmente contenute nelle clausole o nel contratto;
i) che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di
protezione dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti
clausole;
j) che provvederà all’osservanza della clausola 4, lettere da a) ad i).
Clausola 5
Obblighi dell’importatore [2]
L’importatore dichiara e garantisce quanto segue:
a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di
impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso
l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere
agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che
possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il
trasferimento e/o di risolvere il contratto;
c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati
personali trasferiti;
d) che comunicherà prontamente all’esportatore:
i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali,
salvo che la comunicazione sia vietata da norme specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle
indagini;
ii) qualsiasi accesso accidentale o non autorizzato; e
iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;
e) che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a
trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
f) che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo
composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e
selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo;
g) che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza
qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento,
omettendo le informazioni commerciali contenute nelle clausole o nel contratto;
h) che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il consenso scritto;
i) che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11;
j) che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.
Clausola 6
Responsabilità
1. Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola
11 ad opera di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto.
2. Qualora l’interessato non sia in grado di proporre l’azione di risarcimento di cui al paragrafo 1 nei confronti dell’esportatore per
violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera dell’importatore o del subincaricato, in quanto
l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce
all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore
siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti
del successore.
L’importatore non può far valere la violazione degli obblighi ad opera del subincaricato al fine di escludere la propria responsabilità.
3. Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per
violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera del subincaricato, in quanto sia l’esportatore che
l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce
all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole
così come se egli fosse l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o dell’importatore siano stati trasferiti,
per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La
responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
Clausola 7
Mediazione e giurisdizione
1. L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base
alle presenti clausole, egli accetterà la decisione dello stesso interessato:
a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente dell’autorità di controllo;
b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito l’esportatore.
2. Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso
relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.
Clausola 8
Collaborazione con le autorità di controllo
1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o
qualora il deposito sia prescritto dalla normativa sulla protezione dei dati.
2. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e
secondo le stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati.
3. L’importatore informa prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o ai subincaricati,
che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla
clausola 5, lettera b).
Clausola 9
Legge applicabile
Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia …
Clausola 10
Modifica del contratto
Le parti si impegnano a non alterare o non modificare le presenti clausole. Ciò non osta a che le parti inseriscano altre clausole
commerciale ritenute necessarie, purché non siano in contrasto con le clausole.
Clausola 11
Subcontratto
1. L’importatore non può subcontrattare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti clausole senza il previo
consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione degli
obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest’ultimo gli obblighi
cui è egli stesso tenuto in virtù delle clausole [3]. L’importatore rimane pienamente responsabile nei confronti dell’esportatore per
l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo scritto.
2. Nell’accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, a favore
dell’interessato che non sia in grado di proporre l’azione di risarcimento di cui alla clausola 6, paragrafo 1, nei confronti dell’esportatore o
dell’importatore in quanto l’esportatore e l’importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o
siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l’insieme dei loro obblighi. La responsabilità civile
del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
3. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è
stabilito l’esportatore, ossia …
4. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti clausole e comunicati dall’importatore a norma della
clausola 5, lettera j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.
Clausola 12
Obblighi al termine dell’attività di trattamento dei dati personali
1. Le parti convengono che al termine dell’attività di trattamento l’importatore e il subincaricato provvedono, a scelta dell’esportatore, a
restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all’esportatore
l’avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In
questo caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa
tali dati.
2. L’importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o
dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.
Per conto dell’esportatore:
Cognome e nome: …
Qualifica: …
Indirizzo: …
Altre informazioni necessarie per convalidare il contratto:
+++++ TIFF +++++
(timbro dell’organizzazione) | Firma … |
Per conto dell’importatore:
Cognome e nome: …
Qualifica: …
Indirizzo: …
Altre informazioni necessarie per convalidare il contratto:
+++++ TIFF +++++
(timbro dell’organizzazione) | Firma … |
[1] Le parti hanno facoltà di avvalersi delle definizioni di cui alla direttiva 95/46/CE nell’ambito della presente clausola se ritenuto
preferibile ai fini del contratto.
[2] Disposizioni vincolanti della legislazione nazionale applicabile all’importatore che non vanno oltre quanto è necessario in una società
democratica sulla base di uno degli interessi di cui all’articolo 13, paragrafo 1, della direttiva 95/46/CE; in altri termini, le restrizioni
necessarie alla salvaguardia della sicurezza dello Stato, della difesa, della pubblica sicurezza, della prevenzione, della ricerca,
dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate, di un rilevante
interesse economico o finanziario dello Stato, della protezione della persona cui si riferiscono i dati o dei diritti o delle libertà altrui, non
sono in contraddizione con le clausole contrattuali tipo. Costituiscono esempi di disposizioni vincolanti che non vanno oltre quanto è
necessario in una società democratica le sanzioni internazionalmente riconosciute, gli obblighi di informazione in materia fiscale o contro il
riciclaggio di capitali.
[3] Tale prescrizione può considerarsi soddisfatta qualora il subincaricato sottoscriva il contratto concluso tra l’esportatore e l’importatore
ai sensi della presente decisione.
-------------------------------------------------Appendice 1
Alle clausole contrattuali tipo
La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti
(Gli Stati membri hanno facoltà di integrare o specificare ulteriormente, conformemente alle rispettive procedure nazionali, qualsiasi altra
informazione che debba fare parte della presente appendice)
Esportatore
(specificare brevemente le attività pertinenti al trasferimento):
…
…
…
Importatore
(specificare brevemente le attività pertinenti al trasferimento):
…
…
…
Interessati
I dati personali trasferiti interessano le seguenti categorie di persone (specificare):
…
…
…
Categorie di dati oggetto di trasferimento
I dati trasferiti interessano le seguenti categorie di dati (specificare):
…
…
…
Categorie particolari di dati (se del caso)
Il trasferimento interessa le seguenti categorie particolari di dati (specificare):
…
…
…
Trattamento
I dati personali trasferiti saranno sottoposti alle seguenti attività principali di trattamento (specificare):
…
…
…
L’ESPORTATORE
Nome: …
Firma del rappresentante autorizzato …
L’IMPORTATORE
Nome: …
Firma del rappresentante autorizzato …
-------------------------------------------------Appendice 2
alle clausole contrattuali tipo
La presente appendice costituisce parte integrante delle clausole contrattuali e deve essere compilata e sottoscritta dalle parti
Descrizione delle misure tecniche e organizzative di sicurezza attuate dall’importatore in conformità della clausola 4, lettera d), e della
clausola 5, lettera c) (o del documento/atto legislativo allegato):
…
…
…
…
CLAUSOLA ESEMPLIFICATIVA DI INDENNIZZO (FACOLTATIVA)
Responsabilità
Le parti convengono che se una di esse viene riconosciuta responsabile di una violazione delle clausole commessa dall’altra parte,
quest’ultima, nei limiti della sua responsabilità, è tenuta a indennizzare la prima per ogni costo, onere, danno, spesa o perdita sostenuti.
Tale indennizzo è subordinato al fatto che:
a) l’esportatore informi prontamente l’importatore in merito alle istanze presentate;
b) l’importatore abbia la possibilità di collaborare con l’esportatore nella difesa e nella risoluzione della controversia [1].
[1] Il paragrafo sulla responsabilità è facoltativo.
LE REGOLE PER IL TRATTAMENTO DEI DATI SENSIBILI
in base ai provvedimenti del Garante, tutte le autorizzazioni generali sotto riportate sono efficaci fino al 31
dicembre 2014
AUTORIZZAZIONE N. 1: RAPPORTI DI LAVORO
Autorizzazione n. 1/2013 - Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 564 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa
Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili
solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e
dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
Visto il comma 4, lett. d), del medesimo art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza
consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario per adempiere a specifici obblighi o compiti
previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e
sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni
del codice di deontologia e di buona condotta di cui all'art. 111 del Codice;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi
a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari
del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le prescrizioni
già impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice
e, in particolare, efficaci per il periodo di dodici mesi;
Considerata la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti
potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto alla
protezione dei dati personali sancito dall'art. 1 del Codice;
Considerato che un elevato numero di trattamenti di dati sensibili è effettuato nell'ambito dei rapporti di lavoro;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di
dati personali non possono essere utilizzati;
Visti gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sulle
misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
Visto l'art. 167 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Licia Califano;
Autorizza
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le
prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
1) Ambito di applicazione.
La presente autorizzazione è rilasciata:
a) alle persone fisiche e giuridiche, alle imprese, anche sociali, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di
lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico
professionale alle figure indicate al successivo punto 2, lettere b) e c);
b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi, dai
regolamenti o dai contratti collettivi anche aziendali;
l'autorizzazione riguarda anche l'attività svolta:
c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui
alla lettera a) o di strutture convenzionate;
d) dal rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;
e) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire le
finalità di cui al punto 3), lettera h).
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i dati sensibili attinenti:
a) a lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o
di lavoro intermittente o a chiamata, o di lavoro occasionale ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione di
lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi
familiari e conviventi;
b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;
c) a soggetti che effettuano prestazioni coordinate e continuative, anche nella modalità di lavoro a progetto, o ad altri lavoratori autonomi
in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti di cui al punto 1);
d) a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere precedenti, fatta salva l'ipotesi prevista dall'art. 26, comma 3, lett. bbis), del Codice relativamente ai dati sensibili indispensabili contenuti in curricula spontaneamente trasmessi dagli interessati ai fini
dell'instaurazione di un rapporto di lavoro;
e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di
cui al punto 1);
f) a terzi danneggiati nell'esercizio dell'attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.
3) Finalità del trattamento.
Il trattamento dei dati sensibili deve essere indispensabile:
a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa
comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed
estinzione del rapporto di lavoro, nonché del riconoscimento di agevolazioni ovvero dell'erogazione di contributi,
dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del
lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica;
b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della
contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell'incolumità fisica del lavoratore o di un terzo;
d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle
procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti
collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve
essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile;
e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in
materia;
f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità
del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi
nell'esercizio dell'attività lavorativa o professionale;
g) per garantire le pari opportunità nel lavoro;
h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o
confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori
di lavoro.
4) Categorie di dati.
Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere
adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare:
a) nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l'adesione ad associazioni od
organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché
la manifestazione, nei casi previsti dalla legge, dell'obiezione di coscienza;
b) nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
politico o sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che
il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai
contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento
delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;
c) nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità,
gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità psico-fisica a svolgere determinate
mansioni, all'appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di
malattia, anche professionale dell'interessato, o comunque relativi anche all'indicazione della malattia come specifica causa di assenza del
lavoratore.
5) Modalità di trattamento.
Fermi restando gli obblighi previsti dagli artt. 11 e 14 del Codice, nonché dagli artt. 31 e seguenti del Codice e dall'Allegato B) al
medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme
di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso l'interessato.
La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto
previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non
autorizzati, anche attraverso la previsione di distanze di cortesia.
Restano inoltre fermi gli obblighi di informare l'interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto
previsto dagli articoli 13, 23 e 26 del Codice.
6) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lettera e), del Codice, i dati sensibili possono essere conservati per un
periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi
menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e
indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati
che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li
contiene. Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni e gli adempimenti.
7) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati e, ove necessario, diffusi nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità
di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria
integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed
organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento
di dati e familiari dell'interessato.
Ai sensi dell'art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.
8) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità dalle prescrizioni del
presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente autorizzazione.
9) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti
in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute:
a) nell'art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di
lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non
rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore;
b) nell'art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o
in persone prese in considerazione per l'instaurazione di un rapporto di lavoro, l'esistenza di uno stato di sieropositività;
c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni;
d) fermo restando quanto disposto dall'art. 8 della legge 20 maggio 1970, n. 300, nell'art. 10 del decreto legislativo 10 settembre 2003, n.
276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque
trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione
sindacale o politica, al credo religioso, al sesso, all'orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età,
all'handicap, alla razza, all'origine etnica, al colore, alla ascendenza, all'origine nazionale, al gruppo linguistico, allo stato di salute e ad
eventuali controversie con i precedenti datori di lavoro, nonché di trattare dati personali dei lavoratori che non siano strettamente attinenti
alle loro attitudini professionali e al loro inserimento lavorativo.
10) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante
ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 2: DATI SANITARI
Autorizzazione n. 2/2013 - Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 565 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa
Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
VISTO, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
CONSIDERATO che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati
sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei
presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
VISTO l'art. 76 del Codice, secondo cui gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di
un'attività di rilevante interesse pubblico ai sensi dell'art. 85 del medesimo Codice, possono trattare i dati personali idonei a rivelare lo stato
di salute anche senza il consenso dell'interessato, previa autorizzazione del Garante, se il trattamento riguarda dati e operazioni
indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica di un terzo o della collettività;
CONSIDERATO che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
CONSIDERATO che le autorizzazioni di carattere generale sin ora rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi
titolari del trattamento;
RITENUTO opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le
prescrizioni già impartite alla luce dell'esperienza maturata;
RITENUTO opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del
Codice e, in particolare, efficaci per il periodo di dodici mesi;
CONSIDERATA la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto
alla protezione dei dati personali sancito dall'art. 1 del Codice, princìpi valutati anche sulla base delle raccomandazioni adottate in materia
di dati sanitari dal Consiglio d'Europa ed in particolare dalla Raccomandazione N. R (97) 5, in base alla quale i dati sanitari devono essere
trattati, di regola, solo nell'ambito dell'assistenza sanitaria o sulla base di regole di segretezza e di efficacia pari a quelle previste in tale
ambito;
CONSIDERATO che un elevato numero di trattamenti idonei a rivelare lo stato di salute e la vita sessuale è effettuato per finalità di
prevenzione o di cura, per la gestione di servizi socio-sanitari, per ricerche scientifiche o per la fornitura all'interessato di prestazioni, beni
o servizi;
VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento
di dati personali non possono essere utilizzati;
VISTI gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sulle
misure di sicurezza;
VISTO l'art. 41 del Codice;
VISTI gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
VISTO l'art. 167 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
AUTORIZZA
a) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili
per tutelare l'incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per
effettiva irreperibilità;
b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di
salute e la vita sessuale;
c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella qualità di autorità
sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni:
1) il trattamento sia finalizzato alla tutela dell'incolumità fisica e della salute di un terzo o della collettività;
2) manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effettiva
irreperibilità;
3) non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art. 85, commi 1 e 2,
del Codice;
d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il
trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e
quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d'intendere o di volere, il
consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora l'interessato.
Per l'informativa e, ove previsto, il consenso si osservano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82 del Codice.
1) Ambito di applicazione e finalità del trattamento.
1.1. L'autorizzazione è rilasciata:
a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;
b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l'attività in regime di libera professione;
c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale.
In tali casi, l'autorizzazione è rilasciata anche per consentire ai destinatari di adempiere o di esigere l'adempimento di specifici obblighi o di
eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanità
pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di
riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute
mentale, di assistenza farmaceutica, di medicina scolastica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità
alla legge, degli illeciti previsti dall'ordinamento sportivo. Il trattamento può riguardare anche la compilazione di cartelle cliniche, di
certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia
necessaria per i fini appena indicati.
Qualora il perseguimento di tali fini richieda l'espletamento di compiti di organizzazione o di gestione amministrativa, i destinatari della
presente autorizzazione devono esigere che i responsabili e gli incaricati del trattamento preposti a tali compiti osservino le stesse regole di
segretezza alle quali sono sottoposti i medesimi destinatari della presente autorizzazione, nel rispetto di quanto previsto anche dall'art. 83,
comma 1, del Codice.
1.2. L'autorizzazione è rilasciata, altresì, ai seguenti soggetti:
a) alle persone fisiche o giuridiche, agli enti, alle associazioni e agli altri organismi privati, per scopi di ricerca scientifica, anche statistica,
finalizzata alla tutela della salute dell'interessato, di terzi o della collettività in campo medico, biomedico o epidemiologico, allorché si
debba intraprendere uno studio delle relazioni tra i fattori di rischio e la salute umana anche con riguardo a studi nell'ambito della
sperimentazione clinica di farmaci, o indagini su interventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull'utilizzazione
di strutture socio-sanitarie, e la disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i
suoi scopi. In tali casi, il trattamento può comprendere anche dati idonei a rivelare la vita sessuale e l'origine razziale ed etnica solo ove
indispensabili per il raggiungimento delle finalità della ricerca. Inoltre, occorre acquisire il consenso (in conformità a quanto previsto dagli
artt. 106, 107 e 110 del Codice), e il trattamento successivo alla raccolta non deve permettere di identificare gli interessati anche
indirettamente, salvo che l'abbinamento al materiale di ricerca dei dati identificativi dell'interessato sia temporaneo ed essenziale per il
risultato della ricerca, e sia motivato, altresì, per iscritto. I risultati della ricerca non possono essere diffusi se non in forma anonima. Resta
fermo quanto previsto dall'art. 98 del Codice;
b) alle organizzazioni di volontariato o assistenziali, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e
legittimi previsti, in particolare, nelle rispettive norme statutarie;
c) alle comunità di recupero e di accoglienza, alle case di cura e di riposo, limitatamente ai dati e alle operazioni indispensabili per
perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie;
d) agli enti, alle associazioni e alle organizzazioni religiose riconosciute, relativamente ai dati e alle operazioni indispensabili per
perseguire scopi determinati e legittimi nei limiti di quanto stabilito dall'art. 26, comma 4, lett. a), del Codice, fermo restando quanto
previsto per le confessioni religiose dagli articoli 26, comma 3, lett. a), e 181, comma 6, del Codice e dall'autorizzazione n. 3/2013;
e) alle persone fisiche o giuridiche, alle imprese, anche sociali, agli enti, alle associazioni e ad altri organismi, limitatamente ai dati, ove
necessario attinenti anche alla vita sessuale, e alle operazioni indispensabili per adempiere agli obblighi, anche precontrattuali, derivanti da
un rapporto di fornitura all'interessato di beni, di prestazioni o di servizi.
Se il rapporto intercorre con imprese assicurative o istituti di credito, devono considerarsi indispensabili i soli dati ed operazioni
strettamente necessari per fornire specifici prodotti o servizi richiesti dall'interessato. Il rapporto può riguardare anche la fornitura di
strumenti di ausilio per la vista, per l'udito o per la deambulazione;
f) alle persone fisiche o giuridiche, agli enti, alle associazioni e agli altri organismi che gestiscono impianti o strutture sportive,
limitatamente ai dati idonei a rivelare lo stato di salute e alle operazioni indispensabili per accertare l'idoneità fisica alla partecipazione ad
attività sportive o agonistiche;
g) alle persone fisiche o giuridiche e ad altri organismi, limitatamente ai dati dei beneficiari e dei donatori e alle operazioni indispensabili
per effettuare trapianti di organi e tessuti, nonché donazioni di sangue.
1.3. La presente autorizzazione è rilasciata, altresì, quando il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale sia
necessario per:
a) lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un diritto
anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi
previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello
dell'interessato, ovvero consistente in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile, e i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario per il loro perseguimento;
b) adempiere o esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi,
da regolamenti o da contratti collettivi per la gestione del rapporto di lavoro, nonché dalla normativa in materia di previdenza e assistenza o
in materia di igiene e sicurezza del lavoro o della popolazione, nei limiti previsti dalla autorizzazione generale del Garante n. 1/2013 e
ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'art. 111 del Codice.
1.4. Il trattamento di dati genetici resta autorizzato nei limiti e alle condizioni individuati nell'autorizzazione adottata ai sensi dell'art. 90
del Codice.
2) Categorie di dati oggetto di trattamento.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere
adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e può comprendere le
informazioni relative a stati di salute pregressi.
Devono essere considerate sottoposte all'ambito di applicazione della presente autorizzazione anche le informazioni relative ai nascituri,
che devono essere trattate alla stregua dei dati personali in conformità a quanto previsto dalla citata raccomandazione N. R (97) 5 del
Consiglio d'Europa.
3) Modalità di trattamento.
Fermi restando gli obblighi previsti dagli artt. 11 e 14 del Codice, nonché dagli artt. 31 e seguenti del Codice e dall'Allegato B) al
medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme
di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso l'interessato.
La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto
previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non
autorizzati, anche attraverso la previsione di distanze di cortesia.
Per le informazioni relative ai nascituri, il consenso è prestato dalla gestante. Dopo il raggiungimento della maggiore età l'informativa è
fornita all'interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo è necessario (art. 82, comma
4, del Codice).
4) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per un periodo non
superiore a quello necessario per adempiere agli obblighi o ai compiti sopra indicati, ovvero per perseguire le finalità ivi menzionate. A tal
fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati
rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di
propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere
utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene.
Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni
e gli adempimenti.
5) Comunicazione e diffusione dei dati.
Salvo quanto previsto per i dati genetici nell'autorizzazione adottata ai sensi dell'art. 90 del Codice, i dati idonei a rivelare lo stato di salute
possono essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalità di cui al punto 1), a soggetti pubblici e
privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le aziende che svolgono attività strettamente correlate all'esercizio
di professioni sanitarie o alla fornitura all'interessato di beni, di prestazioni o di servizi, gli istituti di credito e le imprese assicurative, le
associazioni od organizzazioni di volontariato e i familiari dell'interessato.
Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.
I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente
pubblici dall'interessato e per i quali l'interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.
6) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del
presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente autorizzazione, relative, ad esempio, al caso in cui la raccolta del consenso
comporti un impiego di mezzi manifestamente sproporzionato in ragione, in particolare, del numero di persone interessate.
7) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più
restrittivi in materia di trattamento di dati personali e, in particolare:
a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135, come modificato dall'art. 178 del Codice, secondo cui la rilevazione statistica
della infezione da HIV deve essere effettuata con modalità che non consentano l'identificazione della persona;
b) dall'art. 11 della legge 22 maggio 1978, n. 194, il quale dispone che l'ente ospedaliero, la casa di cura o il poliambulatorio nei quali è
effettuato un intervento di interruzione di gravidanza devono inviare all'autorità sanitaria competente per territorio una dichiarazione che
non faccia menzione dell'identità della donna;
c) dall'art. 734-bis del codice penale, il quale vieta la divulgazione non consensuale delle generalità o dell'immagine della persona offesa da
atti di violenza sessuale.
Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie
coperte dal segreto professionale, nonché gli obblighi deontologici previsti, in particolare, dal codice di deontologia medica adottato dalla
Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri.
Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati e di includerli, in particolare, nelle pubblicazioni a contenuto
scientifico o finalizzate all'educazione, alla prevenzione o all'informazione di carattere sanitario.
8) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante
ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 3: ASSOCIAZIONI E FONDAZIONI
Autorizzazione n. 3/2013 - Autorizzazione al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle
fondazioni
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 566 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa
Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
VISTO, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
CONSIDERATO che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati
sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei
presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
VISTO altresì il comma 4, lett. a), del citato art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza
consenso, previa autorizzazione del Garante, "quando il trattamento è effettuato da associazioni, enti ed organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento
di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli
aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non
siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati,
prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi
dell'articolo 13";
VISTO il comma 3, lettere a) e b), del predetto art. 26, il quale stabilisce che la disciplina di cui al relativo comma 1 non si applica al
trattamento: a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente
religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre
che i dati non siano diffusi o comunicati fuori delle medesime confessioni; b) dei dati riguardanti l'adesione di associazioni od
organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di
categoria;
RILEVATO che le confessioni di cui alla lettera a) del medesimo art. 26, comma 3, devono determinare idonee garanzie relativamente ai
trattamenti effettuati, nel rispetto dei princìpi indicati al riguardo con autorizzazione del Garante;
VISTO l'art. 181, comma 6, del Codice secondo cui le confessioni religiose che, prima dell'adozione del medesimo Codice, abbiano
determinato e adottato nell'ambito del rispettivo ordinamento le garanzie di cui al predetto art. 26, comma 3, lett. a), possono proseguire
l'attività di trattamento nel rispetto delle medesime;
CONSIDERATO che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
CONSIDERATO che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi
titolari del trattamento;
RITENUTO opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le
prescrizioni già impartite alla luce dell'esperienza maturata;
RITENUTO opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del
Codice e, in particolare, efficaci per il periodo di dodici mesi;
CONSIDERATA la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e in particolare, per il diritto
alla protezione dei dati personali sancito dall'art. 1 del Codice;
CONSIDERATO che un elevato numero di trattamenti di dati sensibili è effettuato da enti ed organizzazioni di tipo associativo e da
fondazioni, per la realizzazione di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o da un contratto collettivo;
VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento
di dati personali non possono essere utilizzati;
VISTI gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e regole sulle
misure di sicurezza;
VISTO l'art. 41 del Codice;
VISTI gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
VISTO l'art. 167 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
AUTORIZZA
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice da parte di associazioni, fondazioni, comitati ed altri organismi
di tipo associativo, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
1) Ambito di applicazione.
La presente autorizzazione è rilasciata:
a) alle associazioni anche non riconosciute, ai partiti e ai movimenti politici, alle associazioni e alle organizzazioni sindacali, ai patronati e
alle associazioni di categoria, alle casse di previdenza, alle organizzazioni assistenziali o di volontariato, nonché alle federazioni e
confederazioni nelle quali tali soggetti sono riuniti in conformità, ove esistenti, allo statuto, all'atto costitutivo o ad un contratto collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, ivi
comprese le organizzazioni non lucrative di utilità sociale (Onlus);
c) alle cooperative sociali e alle società di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886, n.
3818.
L'autorizzazione è rilasciata altresì agli istituti scolastici, limitatamente al trattamento dei dati idonei a rivelare le convinzioni religiose e
per le operazioni strettamente necessarie per l'applicazione dell'art. 310 del decreto legislativo 16 aprile 1994, n. 297 e degli artt. 3 e 10 del
decreto legislativo 19 febbraio 2004, n. 59.
Resta fermo l'obbligo per le confessioni religiose di determinare, ai sensi dell'art. 26, comma 3, lett. a) del Codice, idonee garanzie
relativamente ai trattamenti effettuati nel rispetto dei princìpi indicati con la presente autorizzazione.
Ai sensi dell'art. 181, comma 6, del Codice, le confessioni religiose che, prima dell'adozione del medesimo Codice, abbiano determinato e
adottato nell'ambito del rispettivo ordinamento le garanzie di cui all'art. 26, comma 3, lett. a), del Codice possono proseguire l'attività di
trattamento effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, nel rispetto delle medesime.
2) Finalità del trattamento.
L'autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal
contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o
agonistiche di tipo non professionistico, di istruzione anche con riguardo alla libertà di scelta dell'insegnamento religioso, di formazione, di
ricerca scientifica, di patrocinio, di tutela dell'ambiente e dei beni di interesse artistico e storico, di salvaguardia dei diritti civili, nonché di
beneficenza, assistenza sociale o socio-sanitaria.
Con riferimento al perseguimento delle finalità politiche, la presente autorizzazione è rilasciata anche per il trattamento dei dati personali
effettuato in occasione delle operazioni connesse allo svolgimento delle elezioni primarie.
La presente autorizzazione è rilasciata, altresì, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in
sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai
regolamenti o dai contratti collettivi.
La presente autorizzazione è rilasciata per l'esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle
leggi e dai regolamenti in materia.
Per i fini predetti, il trattamento dei dati sensibili può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di
altri documenti necessari per la gestione amministrativa dell'associazione, della fondazione, del comitato o del diverso organismo, o per
l'adempimento di obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
Qualora i soggetti di cui alle lettere a), b) e c) del punto 1 si avvalgano di persone giuridiche o di altri organismi con scopo di lucro o di
liberi professionisti per perseguire le predette finalità, ovvero richiedano ad essi la fornitura di beni, prestazioni o servizi, la presente
autorizzazione è rilasciata anche ai medesimi organismi, persone giuridiche o liberi professionisti.
I soggetti di cui alle predette lettere a), b) e c) possono comunicare alle persone giuridiche e agli organismi con scopo di lucro titolari di un
autonomo trattamento, i soli dati sensibili strettamente indispensabili per le attività di effettivo ausilio alle predette finalità, con particolare
riferimento alle generalità degli interessati e ad indirizzari, sulla base di un atto scritto che individui con precisione le informazioni
comunicate, le modalità del successivo utilizzo, le particolari misure di sicurezza, nonché, ove previsto, le idonee garanzie determinate. La
dichiarazione scritta di consenso degli interessati deve porre tale circostanza in particolare evidenza e deve recare la precisa menzione dei
titolari del trattamento e delle finalità da essi perseguite. Le persone giuridiche e gli organismi con scopo di lucro, oltre a quanto previsto
nei punti 4) e 6) in tema di pertinenza, non eccedenza e indispensabilità dei dati, possono trattare i dati così acquisiti solo per scopi di
ausilio alle finalità predette, ovvero per scopi amministrativi e contabili.
3) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i dati sensibili attinenti:
a) agli associati, ai soci e, se strettamente indispensabile per il perseguimento delle finalità di cui al punto 2), ai relativi familiari e
conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti
regolari con l'associazione, la fondazione o il diverso organismo;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attività o dei servizi prestati dall'associazione o dal diverso organismo, limitatamente ai
soggetti individuabili in base allo statuto o all'atto costitutivo, ove esistenti, o comunque a coloro nell'interesse dei quali i soggetti
menzionati al punto 1) possono operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di iscrizione agli istituti di cui al punto 1) e, qualora si tratti di minori, ai loro
genitori o a chi ne esercita la potestà;
f) ai lavoratori dipendenti degli associati e dei soci, limitatamente ai dati idonei a rivelare l'adesione a sindacati, associazioni od
organizzazioni a carattere sindacale e alle operazioni necessarie per adempiere a specifici obblighi derivanti da contratti collettivi anche
aziendali.
4) Categorie di dati oggetto di trattamento.
Fermo restando quanto previsto dall'autorizzazione generale n. 2/2013 con riferimento ai dati idonei a rivelare lo stato di salute e la vita
sessuale, il trattamento può avere per oggetto gli altri dati sensibili di cui all'art. 4, comma 1, lett. d) del Codice, idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale.
Il trattamento può riguardare i dati e le operazioni indispensabili per perseguire le finalità di cui al punto 1) o, comunque, per adempiere ad
obblighi derivanti dalla legge, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, che non possano essere perseguiti o
adempiuti, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità
dei dati rispetto ai predetti obblighi e finalità, in particolare per quanto riguarda i dati che rivelano le opinioni e le intime convinzioni,
anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o
non pertinenti o non indispensabili non possono essere utilizzati, salvo per l'eventuale conservazione, a norma di legge, dell'atto o del
documento che li contiene.
5) Modalità di trattamento.
Fermi restando gli obblighi previsti dagli artt. 11 e 14 del Codice, e dagli artt. 31 e seguenti del Codice e dall'Allegato B) al medesimo
Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di
organizzazione dei dati strettamente indispensabili in rapporto alle finalità, agli scopi e agli obblighi di cui al punto 2).
I dati sono raccolti, di regola, presso l'interessato.
Fermo restando quanto previsto ai punti 2) e 7) della presente autorizzazione, se è indispensabile, in conformità al medesimo punto 7),
comunicare o diffondere dati all'esterno dell'associazione, della fondazione, del comitato o del diverso organismo, il consenso scritto è
acquisito previa idonea informativa resa agli interessati ai sensi dell'art. 13 del Codice, la quale deve precisare le specifiche modalità di
utilizzo dei dati tenuto conto delle idonee garanzie adottate relativamente ai trattamenti effettuati.
6) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati sensibili possono essere conservati per un
periodo non superiore a quello necessario per perseguire le finalità e gli scopi di cui al punto 2), ovvero per adempiere agli obblighi ivi
menzionati.
Le verifiche di cui all'ultimo periodo del punto 4) devono riguardare anche la pertinenza, non eccedenza e indispensabilità dei dati rispetto
all'attività svolta dall'interessato o al rapporto che intercorre tra l'interessato e i soggetti di cui al punto 1), tenendo presente il genere di
prestazione, di beneficio o di servizio offerto all'interessato e la posizione di quest'ultimo rispetto ai soggetti stessi.
7) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati a soggetti pubblici o privati, e ove necessario diffusi, solo se strettamente pertinenti alle finalità,
agli scopi e agli obblighi di cui al punto 2) e tenendo presenti le altre prescrizioni sopraindicate.
Fatte salve eventuali specifiche normative di settore, i dati personali relativi a sostenitori, sovventori e aderenti a partiti, movimenti,
associazioni o organizzazioni a carattere politico possono essere diffusi, per finalità volte a garantire la trasparenza, solo con il consenso
scritto degli interessati, previo rilascio di un'idonea informativa che evidenzi con sufficiente chiarezza la prevista diffusione.
I dati sensibili possono essere comunicati alle autorità competenti se necessario per finalità di prevenzione, accertamento o repressione dei
reati, con l'osservanza delle norme che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.
8) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del
presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente autorizzazione.
9) Norme finali.
Restano fermi gli obblighi previsti dalla normativa comunitaria, da norme di legge o di regolamento che stabiliscono divieti o limiti in
materia di trattamento di dati personali.
Restano inoltre ferme le norme volte a prevenire discriminazioni, e in particolare le disposizioni contenute nel decreto-legge 26 aprile
1993, n. 122, convertito, con modificazioni, dalla legge 25 giugno 1993, n. 205, in materia di discriminazione per motivi razziali, etnici,
nazionali o religiosi e di delitti di genocidio, nel decreto legislativo 9 luglio 2003, n. 215 di attuazione della direttiva 2000/43/CE per la
parità di trattamento tra le persone indipendentemente dalla razza e dall'origine etnica e nel decreto legislativo 9 luglio 2003, n. 216, di
attuazione della direttiva 2000/78/CE per la parità di trattamento in materia di occupazione e di condizioni di lavoro.
10) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 e fino al 31 dicembre 2014, salve eventuali modifiche che il
Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 4: PROFESSIONISTI
Autorizzazione n. 4/2013 - Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 567 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa
Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
VISTO, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
CONSIDERATO che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati
sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei
presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
VISTO il comma 4, lett. c), del medesimo art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza
consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario ai fini dello svolgimento delle investigazioni
difensive ai sensi della legge 7 dicembre 2000, n. 397 o, comunque per far valere o difendere in sede giudiziaria un diritto, sempre che i
dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, e che, quando i dati siano
idonei a rivelare lo stato di salute e la vita sessuale il diritto sia di rango pari a quello dell'interessato, ovvero consista in un diritto della
personalità o in altri diritti o libertà fondamentali;
CONSIDERATO che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
CONSIDERATO che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi
titolari del trattamento;
RITENUTO opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le
prescrizioni già impartite alla luce dell'esperienza maturata;
RITENUTO opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del
Codice e, in particolare, efficaci per il periodo di dodici mesi;
CONSIDERATA la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto
alla protezione dei dati personali sancito dall'art. 1 del Codice;
CONSIDERATO che un elevato numero di trattamenti di dati sensibili è effettuato da liberi professionisti iscritti in albi o elenchi
professionali per l'espletamento delle rispettive attività professionali;
VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento
di dati personali non possono essere utilizzati;
VISTI gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sulle
misure di sicurezza;
VISTO l'art. 41 del Codice;
VISTI gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
VISTO l'art. 167 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
AUTORIZZA
i liberi professionisti iscritti in albi o elenchi professionali a trattare i dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, secondo le
prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
1) Ambito di applicazione.
L'autorizzazione è rilasciata, anche senza richiesta, ai liberi professionisti tenuti ad iscriversi in albi o elenchi per l'esercizio di un'attività
professionale in forma individuale o associata, anche in conformità al decreto legislativo 2 febbraio 2001, n. 96, o alle norme di attuazione
dell'art. 24, comma 2, della legge 7 agosto 1997, n. 266, in tema di attività di assistenza e consulenza.
Sono equiparati ai liberi professionisti i soggetti iscritti nei corrispondenti albi o elenchi speciali istituiti anche ai sensi dell'art. 34 del regio
decreto-legge 27 novembre 1933, n. 1578 e successive modificazioni e integrazioni, recante l'ordinamento della professione di avvocato.
L'autorizzazione è rilasciata anche ai sostituti e agli ausiliari che collaborano con il libero professionista ai sensi dell'art. 2232 del Codice
civile, ai praticanti e ai tirocinanti presso il libero professionista, qualora tali soggetti siano titolari di un autonomo trattamento o siano
contitolari del trattamento effettuato dal libero professionista.
Il presente provvedimento non si applica al trattamento dei dati sensibili effettuato:
a) dagli esercenti le professioni sanitarie e dagli psicologi, dal personale sanitario infermieristico, tecnico e della riabilitazione, ai quali si
riferisce l'autorizzazione generale n. 2/2013;
b) per la gestione delle prestazioni di lavoro o di collaborazione di cui si avvale il libero professionista o taluno dei soggetti sopra indicati,
alla quale si riferisce l'autorizzazione generale n. 1/2013;
c) da soggetti privati che svolgono attività investigative, dai giornalisti, dai pubblicisti e dai praticanti giornalisti di cui agli artt. 26 e 33
della legge 3 febbraio 1963, n. 69.
2) Interessati ai quali i dati si riferiscono e categorie di dati.
Il trattamento può riguardare i dati sensibili relativi ai clienti.
I dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l'esecuzione di specifiche prestazioni
professionali richieste dai clienti per scopi determinati e legittimi.
In ogni caso, i dati devono essere strettamente pertinenti e non eccedenti rispetto ad incarichi conferiti che non possano essere svolti
mediante il trattamento di dati anonimi o di dati personali di natura diversa.
Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata
autorizzazione generale n. 2/2013.
3) Finalità del trattamento.
Il trattamento dei dati sensibili può essere effettuato ai soli fini dell'espletamento di un incarico che rientri tra quelli che il libero
professionista può eseguire in base al proprio ordinamento professionale, e in particolare:
a) per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte
di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del
lavoro;
b) ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di
sostituti e di consulenti tecnici, o, comunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in
sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai
regolamenti o dai contratti collettivi. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o
difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile;
c) per l'esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia,
salvo quanto previsto dall'art. 60 del Codice in relazione ai dati sullo stato di salute e sulla vita sessuale.
4) Modalità di trattamento.
Il trattamento dei dati sensibili deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente
indispensabili in rapporto all'incarico conferito dal cliente.
Restano fermi gli obblighi previsti dagli artt. 11 e 14 del Codice, nonché dagli artt. 31 e seguenti del Codice e dall'Allegato B) al medesimo
Codice.
Resta inoltre fermo l'obbligo di informare l'interessato ai sensi dell'art. 13, commi 1, 4 e 5, del Codice, anche quando i dati sono raccolti
presso terzi, e di acquisire, ove necessario, il consenso scritto. L'avvocato può fornire tale informativa e le notizie che deve indicare ai sensi
della disciplina sulle indagini difensive in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone,
pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali.
Se i dati sono raccolti per l'esercizio di un diritto in sede giudiziaria o per le indagini difensive (punto 3), lettera b)), l'informativa relativa
ai dati raccolti presso terzi, e il consenso scritto, sono necessari solo se i dati sono trattati per un periodo superiore a quello strettamente
necessario al perseguimento di tali finalità, oppure per altre finalità con esse non incompatibili.
Le informative devono permettere all'interessato di comprendere agevolmente se il titolare del trattamento è un singolo professionista o
un'associazione di professionisti, ovvero se ricorre un'ipotesi di contitolarità tra più liberi professionisti o di esercizio della professione in
forma societaria ai sensi del decreto legislativo 2 febbraio 2001, n. 96.
Resta ferma la facoltà del libero professionista di designare quali responsabili o incaricati del trattamento i sostituti, gli ausiliari, i
tirocinanti e i praticanti presso il libero professionista, i quali, in tal caso, possono avere accesso ai soli dati strettamente pertinenti alla
collaborazione ad essi richiesta.
Analoga cautela deve essere adottata in riferimento agli incaricati del trattamento preposti all'espletamento di compiti amministrativi.
5) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati, per il
periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello
strettamente necessario per adempiere agli incarichi conferiti.
A tal fine, anche mediante controlli periodici, deve essere verificata la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto
agli incarichi in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche
a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale
conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per l'indispensabilità dei dati
riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
I dati acquisiti in occasione di precedenti incarichi possono essere mantenuti se pertinenti, non eccedenti e indispensabili rispetto a
successivi incarichi.
6) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati e ove necessario diffusi, a soggetti pubblici o privati, nei limiti strettamente pertinenti
all'espletamento dell'incarico conferito e nel rispetto, in ogni caso, del segreto professionale.
I dati idonei a rivelare lo stato di salute possono essere comunicati solo se necessario per finalità di prevenzione, accertamento o
repressione dei reati, con l'osservanza delle norme che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.
7) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del
presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente autorizzazione.
8) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più
restrittivi in materia di trattamento di dati personali e, in particolare, dalle leggi 20 maggio 1970, n. 300, e 5 giugno 1990, n. 135, come
modificata dall'art. 178 del Codice, nonché dalle norme volte a prevenire discriminazioni.
Restano fermi, altresì, gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie
coperte dal segreto professionale, nonché gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
9) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 e fino al 31 dicembre 2014, salve eventuali modifiche che il
Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 5: SERVIZI ED ATTIVITÀ VARIE
Autorizzazione n. 5/2013 - Autorizzazione al trattamento dei dati sensibili da parte di diverse categorie di titolari
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 568 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa
Giovanna Bianchi Clerici e della dott.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
VISTO, in particolare, l'art. 4, comma 1, lett. d) del citato Codice, il quale individua i dati sensibili;
CONSIDERATO che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati
sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei
presupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
VISTO il d.lg. 4 marzo 2010, n. 28 di attuazione dell'art. 60 della legge 18 giugno 2009, n. 69, aggiornato dalla l. 9 agosto 2013, n. 98, in
materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali e il d.m. del 18 ottobre 2010, n. 180, emanato ai
sensi dell'art. 16 del predetto decreto legislativo;
CONSIDERATO che un elevato numero di trattamenti di dati sensibili è effettuato da parte degli organismi definiti a norma dell'art. 1,
comma 1, lett. d) del d.lg. n. 28/2010 per l'espletamento delle rispettive attività;
VISTA l'autorizzazione n. 2/2013 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale;
RITENUTO che il trattamento dei dati sensibili effettuato dagli organismi di mediazione ai sensi del d.lg. n. 28/2010 non sia riconducibile
all'autorizzazione generale n. 4/2013, concernente il trattamento dei dati sensibili da parte dei liberi professionisti, in ragione del diverso
ambito di applicazione e delle peculiari prescrizioni ivi impartite;
CONSIDERATO che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
CONSIDERATO che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi
titolari del trattamento;
RITENUTO opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le
prescrizioni già impartite alla luce dell'esperienza maturata;
RITENUTO opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del
Codice, e, in particolare, efficaci per il periodo di dodici mesi;
CONSIDERATA la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e in particolare, per il diritto
alla protezione dei dati personali sancito dall'art. 1 del Codice;
CONSIDERATO che un elevato numero di trattamenti di dati sensibili è effettuato da parte di soggetti operanti in diversi settori di attività
economiche di seguito individuate;
VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento
di dati personali non possono essere utilizzati;
VISTI gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e regole sulle
misure di sicurezza;
VISTO l'art. 41 del Codice;
VISTI gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
VISTO l'art. 167 del Codice;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
AUTORIZZA
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, fatta eccezione dei dati idonei a rivelare la vita sessuale,
secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
CAPO I
ATTIVITA' BANCARIE, CREDITIZIE, ASSICURATIVE, DI GESTIONE DI FONDI, DEL SETTORE TURISTICO, DEL
TRASPORTO ED ALTRE ATTIVITA' AUTORIZZATE
1) Soggetti ai quali è rilasciata l'autorizzazione.
a) imprese autorizzate all'esercizio dell'attività bancaria e creditizia o assicurativa ed organismi che le riuniscono, anche se in stato di
liquidazione coatta amministrativa;
b) società ed altri organismi che gestiscono fondi-pensione o di assistenza, ovvero fondi o casse di previdenza;
c) società ed altri organismi di intermediazione finanziaria, in particolare per la gestione o l'intermediazione di fondi comuni di
investimento o di valori mobiliari;
d) società ed altri organismi che emettono carte di credito, altri mezzi di pagamento o che consentono forme di pagamento e ne gestiscono
le relative operazioni;
e) imprese che svolgono autonome attività strettamente connesse e strumentali a quelle indicate nelle precedenti lettere, e relative alla
rilevazione dei rischi, al recupero dei crediti, a lavorazioni massive di documenti, alla trasmissione dati, all'imbustamento o allo
smistamento della corrispondenza, nonché alla gestione di esattorie o tesorerie;
f) imprese che operano nel settore turistico o alberghiero o del trasporto, agenzie di viaggio e operatori turistici;
g) operatori economici autorizzati a svolgere la propria attività in base ad autorizzazione comunque resa ai sensi delle norme contenute nel
regio decreto 18 giugno 1931, n. 773 (T.u.l.p.s.) o nel decreto legislativo 31 marzo 1998, n. 112.
2) Finalità del trattamento.
La presente autorizzazione è rilasciata, anche senza richiesta, limitatamente ai dati e alle operazioni indispensabili per adempiere agli
obblighi anche precontrattuali che i soggetti di cui al punto 1) assumono, nel proprio settore di attività, al fine di fornire specifici beni,
prestazioni o servizi richiesti dall'interessato.
L'autorizzazione è rilasciata anche per adempiere o per esigere l'adempimento di obblighi previsti, anche in materia fiscale e contabile,
dalla normativa comunitaria, dalla legge, dai regolamenti, o dai contratti collettivi, o prescritti da autorità od organi di vigilanza o di
controllo nei casi indicati dalla legge o dai regolamenti.
Il trattamento avente tali finalità può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti
necessari per espletare compiti di organizzazione o di gestione amministrativa di imprese, società, cooperative o consorzi.
3) Interessati ai quali i dati si riferiscono e categorie di dati trattati.
Il trattamento può riguardare i dati sensibili attinenti ai soggetti ai quali sono forniti i beni, le prestazioni o i servizi, in misura strettamente
pertinente a quanto specificamente richiesto dall'interessato che, ove necessario, abbia manifestato il proprio consenso scritto ed informato.
Nei medesimi limiti, è possibile trattare dati relativi a terzi, allorché non sia altrimenti possibile procedere alla fornitura al beneficiario dei
beni, delle prestazioni o dei servizi.
Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a
ciascuno di essi.
4) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati, nei limiti strettamente pertinenti al perseguimento delle finalità di cui al punto 2), a soggetti
pubblici o privati, ivi compresi fondi e casse di previdenza ed assistenza o società controllate e collegate ai sensi dell'art. 2359 del codice
civile, nonché, ove necessario, ai familiari dell'interessato.
I titolari del trattamento, anche ai fini dell'eventuale comunicazione ad altri titolari delle modifiche apportate ai dati in accoglimento di una
richiesta dell'interessato (art. 7, comma 3, lettera c), del Codice), devono conservare un elenco dei destinatari delle comunicazioni
effettuate, recante un'annotazione delle specifiche categorie di dati comunicati.
I dati sensibili non possono essere diffusi.
CAPO II
SONDAGGI E RICERCHE
1) Soggetti ai quali è rilasciata l'autorizzazione e finalità del trattamento.
Imprese, società, istituti ed altri organismi o soggetti privati, ai soli fini del compimento di sondaggi di opinione, di ricerche di mercato o di
altre ricerche campionarie.
Il sondaggio o la ricerca devono essere effettuati per scopi puntualmente determinati e legittimi, noti all'interessato.
2) Interessati ai quali i dati si riferiscono e categorie di dati trattati.
Il trattamento può riguardare i dati attinenti ai soggetti che abbiano manifestato il proprio consenso informato e che abbiano risposto a
questionari o ad interviste effettuate nell'ambito di sondaggi di opinione, di ricerche di mercato o di altre ricerche campionarie.
Il consenso deve essere manifestato in ogni caso per iscritto.
I dati personali di natura sensibile possono essere trattati solo se il trattamento di dati anonimi non permette al sondaggio o alla ricerca di
raggiungere i suoi scopi.
3) Conservazione dei dati.
Il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, neanche indirettamente, mediante un riferimento
ad una qualsiasi altra informazione.
I dati personali, individuali o aggregati, devono essere distrutti o resi anonimi subito dopo la raccolta, e comunque non oltre la fase
contestuale alla registrazione dei campioni raccolti. La registrazione deve essere effettuata senza ritardo anche nel caso in cui i campioni
siano stati raccolti in numero elevato.
Entro tale ambito temporale, resta ferma la possibilità per il titolare della raccolta, nonché per i suoi responsabili o incaricati, di utilizzare i
dati personali al fine di verificare presso gli interessati la veridicità o l'esattezza dei campioni.
4) Comunicazione dei dati.
I dati sensibili non possono essere né comunicati, né diffusi.
I campioni del sondaggio o della ricerca possono essere comunicati o diffusi in forma individuale o aggregata, sempre che non possano
essere associati, anche a seguito di trattamento, ad interessati identificati o identificabili.
CAPO III
ATTIVITA' DI ELABORAZIONE DI DATI
1) Soggetti ai quali è rilasciata l'autorizzazione.
Imprese, società, istituti ed altri organismi o soggetti privati, titolari autonomi di un'attività svolta nell'interesse di altri soggetti, e che
presuppone l'elaborazione di dati ed altre operazioni di trattamento eseguite in materia di lavoro, ovvero a fini contabili, retributivi,
previdenziali, assistenziali e fiscali.
2) Prescrizioni applicabili.
Il trattamento è regolato dalle autorizzazioni:
a) n. 1/2013 concernente il trattamento dei dati sensibili a cura, in particolare, delle parti di un rapporto di lavoro qualora le finalità
perseguite siano quelle indicate al punto 3) di tale autorizzazione;
b) n. 4/2013 riguardante il trattamento dei dati sensibili ad opera dei liberi professionisti e di altri soggetti equiparati, qualora le finalità
perseguite siano quelle indicate al punto 3) di tale autorizzazione.
Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a
ciascuno di essi.
CAPO IV
ATTIVITA' DI SELEZIONE DEL PERSONALE
1) Soggetti ai quali è rilasciata l'autorizzazione e finalità del trattamento.
La presente autorizzazione è rilasciata, anche senza richiesta, alle agenzie per il lavoro e agli altri soggetti che, in conformità alla legge,
svolgono, nell'interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale.
2) Interessati ai quali i dati si riferiscono e categorie di dati trattati.
Il trattamento può riguardare i dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica dei candidati all'instaurazione di un
rapporto di lavoro o di collaborazione, solo se la loro raccolta è giustificata da scopi determinati e legittimi ed è strettamente indispensabile
per instaurare tale rapporto.
Il trattamento dei dati idonei a rivelare lo stato di salute dei familiari o dei conviventi dei candidati è consentito con il consenso scritto
degli interessati e qualora sia finalizzato al riconoscimento di uno specifico beneficio in favore dei candidati, in particolare ai fini di
un'assunzione obbligatoria o del riconoscimento di un titolo derivante da invalidità o infermità, da eventi bellici o da ragioni di servizio.
Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a
ciascuno di essi.
Il trattamento deve riguardare le sole informazioni strettamente pertinenti a tali finalità, sia in caso di risposta a questionari inviati anche
per via telematica, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l'invio di curricula.
Non è consentito il trattamento dei dati:
a) idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni a
carattere religioso, filosofico, politico o sindacale, l'origine razziale ed etnica – fatto salvo quanto sopra stabilito–, e la vita sessuale;
b) inerenti a fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore;
c) in violazione delle norme in materia di pari opportunità o volte a prevenire discriminazioni.
3) Comunicazione e diffusione dei dati.
I dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica possono essere comunicati nei limiti strettamente pertinenti al
perseguimento delle finalità di cui ai punti 1) e 2), a soggetti pubblici o privati che siano specificamente menzionati nella dichiarazione di
consenso dell'interessato.
I dati sensibili non possono essere diffusi.
4) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti.
CAPO V
MEDIAZIONE A FINI MATRIMONIALI
1) Soggetti ai quali è rilasciata l'autorizzazione
La presente autorizzazione è rilasciata alle imprese, alle società, agli istituti e agli altri organismi o soggetti privati che esercitano, anche
attraverso agenzie autorizzate, un'attività di mediazione a fini matrimoniali o di instaurazione di un rapporto di convivenza.
2) Finalità del trattamento.
L'autorizzazione è rilasciata ai soli fini dell'esecuzione dei singoli incarichi conferiti in conformità alle leggi e ai regolamenti.
3) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i soli dati sensibili attinenti alle persone direttamente interessate al matrimonio o alla convivenza.
Non è consentito il trattamento di dati relativo a persone minori di età in base all'ordinamento del Paese di appartenenza o, comunque, in
base alla legge italiana.
4) Categorie di dati oggetto di trattamento.
Il trattamento può riguardare i soli dati e le sole operazioni che risultino indispensabili in relazione allo specifico profilo o alla personalità
descritti o richiesti dalle persone interessate al matrimonio o alla convivenza.
I dati devono essere forniti personalmente dai medesimi interessati.
L'informativa preliminare al consenso scritto deve porre in particolare evidenza le categorie di dati trattati e le modalità della loro
comunicazione a terzi.
5) Comunicazione dei dati.
I dati possono essere comunicati nei limiti strettamente pertinenti all'esecuzione degli specifici incarichi ricevuti.
I titolari del trattamento, anche ai fini dell'eventuale comunicazione ad altri titolari delle modifiche apportate ai dati in accoglimento di una
richiesta dell'interessato (art. 7, comma 3, lettera c), del Codice), devono conservare un elenco dei destinatari delle comunicazioni
effettuate, recante un'annotazione delle specifiche categorie di dati comunicati.
L'eventuale diffusione anche per via telematica di taluni dati sensibili deve essere oggetto di apposita autorizzazione di questa Autorità.
6) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti, in particolare nell'ambito della legge penale e della disciplina di
pubblica sicurezza, nonché in materia di tutela dei minori.
CAPO VI
MEDIAZIONE FINALIZZATA ALLA CONCILIAZIONE DELLE CONTROVERSIE CIVILI E COMMERCIALI
1) Soggetti ai quali è rilasciata l'autorizzazione.
La presente autorizzazione è rilasciata, anche senza richiesta, agli organismi di mediazione privati di cui all'art. 1, comma 1 del d.lg. 4
marzo 2010, n. 28 per l'espletamento delle attività di mediazione finalizzata alla conciliazione delle controversie civili e commerciali.
2) Finalità del trattamento.
L'autorizzazione è rilasciata ai soli fini dell'espletamento di un'attività che rientri tra quelle che i soggetti indicati al punto 1) possono
svolgere ai sensi del d.lg. n. 28/2010 e successive modifiche ed integrazioni e, in particolare, per assistere due o più soggetti sia nella
ricerca di un accordo amichevole per la composizione di una controversia, sia, ove tale accordo non venga raggiunto, nella formulazione di
una proposta per la risoluzione della stessa. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o
difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile.
3) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i soli dati sensibili attinenti ai soggetti coinvolti nella controversia oggetto di conciliazione.
I dati sensibili relativi a terzi possono essere trattati ove ciò sia strettamente indispensabile per l'attività di mediazione.
4) Categorie di dati oggetto di trattamento e modalità del trattamento.
Il trattamento può riguardare i soli dati e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione alla specifica
controversia oggetto di mediazione e rispetto ad attività che non possano essere svolte mediante il trattamento di dati anonimi o di dati
personali di natura diversa.
Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata
autorizzazione generale n. 2/2013.
L'informativa preliminare al consenso scritto deve porre in particolare evidenza le categorie di dati trattati e le modalità della loro
comunicazione.
5) Comunicazione dei dati.
I dati sensibili possono essere comunicati, alle parti nel procedimento di mediazione finalizzata alla conciliazione delle controversie civili e
commerciali, nei limiti strettamente pertinenti all'espletamento dello specifico incarico di mediazione conferito e nel rispetto delle
restrizioni e dei limiti di cui al d.lg. n. 28/2010.
I dati sensibili non possono essere diffusi.
6) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più
restrittivi in materia di trattamento di dati personali.
Restano fermi, altresì, gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie
coperte da segreto professionale, nonché gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
CAPO VII
PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI
Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni:
1) Dati idonei a rivelare lo stato di salute.
Il trattamento dei dati idonei a rivelare lo stato di salute deve essere effettuato anche nel rispetto dell'autorizzazione n. 2/2013.
Il trattamento di dati genetici resta autorizzato nei limiti e alle condizioni individuati nell'autorizzazione adottata ai sensi dell'art. 90 del
Codice.
2) Modalità di trattamento.
Fermi restando gli obblighi previsti dagli artt. 11 e 14 del Codice, dagli artt. 31 e seguenti del Codice e dall'Allegato B) al Codice, il
trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei
dati strettamente indispensabili in rapporto alle finalità indicate nei capi che precedono.
La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto
previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non
autorizzati, anche attraverso la previsione di distanze di cortesia.
Resta inoltre fermo l'obbligo di informare l'interessato, ai sensi dell'art. 13, commi 1, 4 e 5 del Codice, anche quando i dati sono raccolti
presso terzi.
3) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati sensibili possono essere conservati per un
periodo non superiore a quello necessario per perseguire le finalità, ovvero per adempiere agli obblighi o agli incarichi menzionati nei
precedenti capi. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e
indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati
che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li
contiene. Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni e gli adempimenti.
Restano fermi i diversi termini di conservazione previsti dalle leggi o dai regolamenti.
Resta altresì fermo quanto previsto nel capo II in materia di sondaggi e di ricerche.
4) Richiesta di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del
presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente autorizzazione.
5) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento e dalla normativa comunitaria, che stabiliscono divieti o limiti più
restrittivi in materia di trattamento di dati personali e, in particolare:
a) dalla legge 20 maggio 1970, n. 300;
b) dalla legge 5 giugno 1990, n. 135;
c) dal decreto legislativo 10 settembre 2003, n. 276.
Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie
coperte dal segreto professionale, nonché gli obblighi deontologici, previsti anche dai codici deontologici e di buona condotta adottati in
attuazione dell'art. 12 del Codice.
Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati.
6) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante
ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 6: INVESTIGATORI PRIVATI
Autorizzazione n. 6/2013 - Autorizzazione al trattamento dei dati sensibili da parte degli investigatori privati
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 569 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa
Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili
solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e
dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;
Visto il comma 4, lett. c), del medesimo art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza
consenso, previa autorizzazione del Garante, quando il trattamento medesimo è necessario per svolgere una investigazione difensiva ai
sensi della legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano
trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, e che, quando i dati siano idonei a
rivelare lo stato di salute e la vita sessuale dell'interessato il diritto sia di rango pari a quello dell'interessato, ovvero consista in un diritto
della personalità o in altri diritti o libertà fondamentali;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi
a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari
del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le prescrizioni
già impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice,
e, in particolare, efficaci per il periodo di dodici mesi;
Considerata la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti
potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto alla
protezione dei dati personali sancito dall'art. 1 del Codice;
Considerato che il Garante ha rilasciato un'autorizzazione di ordine generale relativa ai dati idonei a rivelare lo stato di salute e la vita
sessuale (n. 2/2013), anche in riferimento alle predette finalità di ordine giudiziario;
Considerato che numerosi trattamenti aventi tali finalità sono effettuati con l'ausilio di investigatori privati, e che è pertanto opportuno
integrare anche le prescrizioni dell'autorizzazione n. 2/2013 mediante un ulteriore provvedimento di ordine generale che tenga conto dello
specifico contesto dell'investigazione privata, anche al fine di armonizzare le prescrizioni da impartire alla categoria;
Considerato che ulteriori misure ed accorgimenti sono state prescritti dal Garante con il codice di deontologia e di buona condotta per i
trattamenti di dati personali effettuati per svolgere investigazioni difensive emanato ai sensi dell'art. 12 del Codice (deliberazione del
Garante n. 60 del 6 novembre 2008, in G.U. 24 novembre 2008, n. 275);
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di
dati personali non possono essere utilizzati;
Visti gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sulle
misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
Visto l'art. 167 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
Autorizza
gli investigatori privati a trattare i dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
1) Ambito di applicazione.
La presente autorizzazione è rilasciata, anche senza richiesta, alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli
organismi che esercitano un'attività di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931,
n. 773, e successive modificazioni e integrazioni).
2) Finalità del trattamento.
Il trattamento può essere effettuato unicamente per l'espletamento dell'incarico ricevuto dai soggetti di cui al punto 1) e in particolare:
a) per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto, che, quando i dati
siano idonei a rivelare lo stato di salute e la vita sessuale dell'interessato, deve essere di rango pari a quello del soggetto al quale si
riferiscono i dati, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale;
b) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito
da utilizzare ai soli fini dell'esercizio del diritto alla prova (art. 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397).
Restano ferme le altre autorizzazioni generali rilasciate ai fini dello svolgimento delle investigazioni in relazione ad un procedimento
penale o per l'esercizio di un diritto in sede giudiziaria, in particolare:
a) nell'ambito dei rapporti di lavoro (autorizzazione n. 1/2013);
b) relativamente ai dati idonei a rivelare lo stato di salute e la vita sessuale (autorizzazione n. 2/2013);
c) da parte degli organismi di tipo associativo e delle fondazioni (autorizzazione n. 3/2013);
d) da parte dei liberi professionisti iscritti in albi o elenchi professionali, ivi inclusi i difensori e i relativi sostituti ed ausiliari
(autorizzazione n. 4/2013);
e) relativamente ai dati di carattere giudiziario (autorizzazione n. 7/2013).
3) Categorie di dati e interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i dati sensibili di cui all'art. 4, comma 1, lett. d) del Codice, qualora ciò sia strettamente indispensabile per
eseguire specifici incarichi conferiti per scopi determinati e legittimi nell'ambito delle finalità di cui al punto 1), che non possano essere
adempiute mediante il trattamento di dati anonimi o di dati personali di natura diversa.
I dati devono essere pertinenti e non eccedenti rispetto agli incarichi conferiti.
4) Modalità di trattamento.
Gli investigatori privati non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di dati. Tali attività
possono essere eseguite esclusivamente sulla base di un apposito incarico conferito per iscritto, anche da un difensore, per le esclusive
finalità di cui al punto 2).
L'atto di incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale
al quale l'investigazione è collegata, nonché i principali elementi di fatto che giustificano l'investigazione e il termine ragionevole entro cui
questa deve essere conclusa.
Fermi restando gli obblighi previsti dagli artt. 11 e 14 del Codice, nonché dagli artt. 31 e seguenti del Codice e dall'Allegato B) al
medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme
di organizzazione dei dati strettamente indispensabili in rapporto alle finalità di cui al punto 2).
L'interessato o la persona presso la quale sono raccolti i dati deve essere informata ai sensi dell'art. 13 del Codice, ponendo in particolare
evidenza l'identità e la qualità professionale dell'investigatore, nonché la natura facoltativa del conferimento dei dati.
Nel caso in cui i dati siano raccolti presso terzi, è necessario informare l'interessato e acquisire il suo consenso scritto (art. 13, commi 1, 4 e
5 e art. 26, comma 4, del Codice), solo se i dati sono trattati per un periodo superiore a quello strettamente necessario per esercitare il
diritto in sede giudiziaria o per svolgere le investigazioni difensive, oppure se i dati sono utilizzati per ulteriori finalità non incompatibili
con quelle precedentemente perseguite.
Il difensore o il soggetto che ha conferito l'incarico devono essere informati periodicamente dell'andamento dell'investigazione, anche al
fine di permettere loro una valutazione tempestiva circa le determinazioni da adottare riguardo all'esercizio del diritto in sede giudiziaria o
al diritto alla prova.
L'investigatore privato deve eseguire personalmente l'incarico ricevuto e non può avvalersi di altri investigatori non indicati
nominativamente all'atto del conferimento dell'incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista
nell'atto di incarico.
Nel caso in cui si avvalga di collaboratori interni designati quali responsabili o incaricati del trattamento in conformità a quanto previsto
dagli artt. 29 e 30 del Codice, l'investigatore privato deve vigilare con cadenza almeno settimanale sulla puntuale osservanza delle norme di
legge e delle istruzioni impartite. Tali soggetti possono avere accesso ai soli dati strettamente pertinenti alla collaborazione ad essi
richiesta.
Per quanto non previsto nella presente autorizzazione, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere
effettuato nel rispetto delle ulteriori prescrizioni contenute nell'autorizzazione generale n. 2/2013 e, per ciò che riguarda le informazioni
relative ai dati genetici, nel rispetto dell'autorizzazione adottata ai sensi dell'art. 90 del Codice.
Il trattamento dei dati deve inoltre rispettare le prescrizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali
effettuati per svolgere investigazioni difensive emanato ai sensi dell'art. 12 del Codice (deliberazione del Garante n. 60 del 6 novembre
2008, in G.U. 24 novembre 2008, n. 275).
5) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice i dati sensibili possono essere conservati per un
periodo non superiore a quello strettamente necessario per eseguire l'incarico ricevuto.
A tal fine deve essere verificata costantemente, anche mediante controlli periodici, la stretta pertinenza, non eccedenza e indispensabilità
dei dati rispetto alle finalità perseguite e all'incarico conferito.
Una volta conclusa la specifica attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l'immediata
comunicazione al difensore o al soggetto che ha conferito l'incarico i quali possono consentire, anche in sede di mandato, l'eventuale
conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l'attività svolta, ai soli fini dell'eventuale
dimostrazione della liceità e correttezza del proprio operato. Se è stato contestato il trattamento il difensore o il soggetto che ha conferito
l'incarico possono anche fornire all'investigatore il materiale necessario per dimostrare la liceità e correttezza del proprio operato, per il
tempo a ciò strettamente necessario.
La sola pendenza del procedimento al quale l'investigazione è collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della
formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati da parte
dell'investigatore privato.
6) Comunicazione e diffusione dei dati.
I dati possono essere comunicati unicamente al soggetto che ha conferito l'incarico.
I dati non possono essere comunicati ad un altro investigatore privato, salvo che questi sia stato indicato nominativamente nell'atto di
incarico e la comunicazione sia necessaria per lo svolgimento dei compiti affidati.
I dati idonei a rivelare lo stato di salute possono essere comunicati alle autorità competenti solo se ciò è necessario per finalità di
prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.
7) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del
presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente autorizzazione.
8) Norme finali.
Restano fermi gli obblighi previsti dalla normativa comunitaria, ovvero da norme di legge o di regolamento, che stabiliscono divieti o limiti
in materia di trattamento di dati personali e, in particolare:
a) dagli artt. 4 (impianti e apparecchiature per finalità di controllo a distanza dei lavoratori) e 8 (indagini sulle opinioni del lavoratore o su
altri fatti non rilevanti ai fini della valutazione dell'attitudine professionale) della legge 20 maggio 1970, n. 300 e dall'art. 10 (indagini sulle
opinioni del lavoratore e trattamenti discriminatori) del decreto legislativo 10 settembre 2003, n. 276;
b) dalla legge 5 giugno 1990, n. 135, in materia di sieropositività e di infezione da HIV;
c) dalle norme volte a prevenire discriminazioni;
d) dall'art. 734-bis del codice penale, il quale vieta la divulgazione non consensuale delle generalità o dell'immagine della persona offesa da
atti di violenza sessuale.
Restano fermi, in particolare, gli obblighi previsti in tema di liceità e di correttezza nell'uso di strumenti o apparecchiature che permettono
la raccolta di informazioni anche sonore o visive, ovvero in tema di accesso a banche dati o di cognizione del contenuto della
corrispondenza e di comunicazioni o conversazioni telefoniche, telematiche o tra soggetti presenti.
Resta ferma la facoltà per le persone fisiche di trattare direttamente dati per l'esclusivo fine della tutela di un proprio diritto in sede
giudiziaria, anche nell'ambito delle investigazioni relative ad un procedimento penale. In tali casi, il Codice non si applica anche se i dati
sono comunicati occasionalmente ad una autorità giudiziaria o a terzi, sempre che i dati non siano destinati ad una comunicazione
sistematica o alla diffusione (art. 5, comma 3, del Codice).
9) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante
ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 7: TRATTAMENTO DEI DATI GIUDIZIARI
Autorizzazione n. 7/2013 - Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di
soggetti pubblici
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 570 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna
Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
Visto l'art. 4, comma 1, lett. e) del Codice, il quale individua i dati giudiziari;
Visti, in particolare, gli artt. 21, comma 1, e 27 del Codice, che consentono il trattamento di dati giudiziari, rispettivamente, da parte di
soggetti pubblici e di privati o di enti pubblici economici, soltanto se autorizzato da espressa disposizione di legge o provvedimento del
Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni eseguibili;
Visti gli artt. 21, comma 2, e 20, commi 2 e 4, e le disposizioni relative a specifici settori di cui alla Parte II del Codice e, in particolare, i
Capi III e IV del Titolo IV, nel quale sono indicate finalità di rilevante interesse pubblico che rendono ammissibile il trattamento di dati
giudiziari da parte di soggetti pubblici;
Visto l'art. 22 del Codice, che enuncia i princìpi applicabili al trattamento di dati sensibili e giudiziari da parte di soggetti pubblici;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere
generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi
a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari
del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2013, armonizzando le prescrizioni
già impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice,
e, in particolare, efficaci per il periodo di dodici mesi;
Visto il d. lg. 4 marzo 2010, n. 28, recante "Attuazione dell'articolo 60 della legge 18 giugno 2009, n. 69, aggiornato dalla l. 9 agosto 2013,
n. 98, in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali" e il Regolamento di cui al d. m. 18
ottobre 2010, n. 180, emanato ai sensi dell'art. 16 del citato decreto legislativo, i quali prevedono che gli organismi di mediazione, gli enti
di formazione e il Ministero della giustizia trattino i dati giudiziari per l'accertamento dei requisiti di onorabilità dei mediatori nonché dei
soci, associati, amministratori e rappresentanti dei predetti enti di natura privata e attribuiscono al Ministero della giustizia l'esercizio di
poteri di vigilanza e controllo in merito a tali requisiti;
Visti gli artt. 51 e 52 del Codice in materia di informatica giuridica e ritenuta la necessità di favorire la prosecuzione dell'attività di
documentazione, studio e ricerca in campo giuridico, in particolare per quanto riguarda la diffusione di dati relativi a precedenti
giurisprudenziali, in ragione anche dell'affinità che tali attività presentano con quelle di manifestazione del pensiero disciplinate dall'art.
137 del Codice;
Considerata la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti
potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e in particolare, per il diritto alla
protezione dei dati personali sancito dall'art. 1 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di
dati personali non possono essere utilizzati;
Visti gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e regole sulle
misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli artt. 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
Visto l'art. 167 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
Autorizza
il trattamento dei dati giudiziari di cui all'art. 4, comma 1, lett. e), del Codice, per le finalità di rilevante interesse pubblico di seguito
specificate ai sensi degli artt. 21 e 27 del Codice, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento, i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
Capo I - RAPPORTI DI LAVORO
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata, anche senza richiesta, a persone fisiche e giuridiche, enti, associazioni ed organismi che:
a) sono parte di un rapporto di lavoro;
b) utilizzano prestazioni lavorative anche atipiche, parziali o temporanee;
c) conferiscono un incarico professionale a consulenti, liberi professionisti, agenti, rappresentanti e mandatari.
Il trattamento deve essere indispensabile per:
A. adempiere o esigere l'adempimento di specifici obblighi o eseguire specifici compiti previsti da leggi, dalla normativa comunitaria, da
regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od
onorario;
B. verificare, limitatamente ai dati strettamente necessari, i requisiti di onorabilità dei dipendenti di società operanti nel settore del rating.
L'autorizzazione è altresì rilasciata a soggetti che in relazione ad un'attività di composizione di controversie esercitata in conformità alla
legge svolgono un trattamento indispensabile al medesimo fine.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare dati attinenti a soggetti che hanno assunto o intendono assumere la qualità di:
a) lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o
di lavoro intermittente o a chiamata, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione, o in rapporto di tirocinio,
ovvero di associati anche in compartecipazione o di titolari di borse di lavoro e di rapporti analoghi e, con riferimento a quanto previsto al
punto 1), lettera B), limitatamente ai soli lavoratori effettivamente impiegati in attività di rating;
b) amministratori o membri di organi esecutivi o di controllo;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari.
Capo II - ORGANISMI DI TIPO ASSOCIATIVO E FONDAZIONI
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata anche senza richiesta:
a) ad associazioni anche non riconosciute, ivi compresi partiti e movimenti politici, associazioni ed organizzazioni sindacali, patronati,
associazioni a scopo assistenziale o di volontariato, a fondazioni, comitati e ad ogni altro ente, consorzio od organismo senza scopo di
lucro, dotati o meno di personalità giuridica, nonché a cooperative sociali e società di mutuo soccorso di cui, rispettivamente, alle leggi 8
novembre 1991, n. 381 e 15 aprile 1886, n. 3818;
b) ad enti ed associazioni anche non riconosciute che curano il patrocinio, il recupero, l'istruzione, la formazione professionale, l'assistenza
socio-sanitaria, la beneficenza e la tutela di diritti in favore dei soggetti cui si riferiscono i dati o dei relativi familiari e conviventi.
Il trattamento deve essere indispensabile per perseguire scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o da un
contratto collettivo.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare dati attinenti:
a) ad associati, soci e aderenti, nonché, nei casi in cui l'utilizzazione dei dati sia prevista dall'atto costitutivo o dallo statuto, a soggetti che
presentano richiesta di ammissione o di adesione;
b) a beneficiari, assistiti e fruitori delle attività o dei servizi prestati dall'associazione, dall'ente o dal diverso organismo.
Capo III - LIBERI PROFESSIONISTI
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata anche senza richiesta ai:
a) liberi professionisti tenuti ad iscriversi in albi o elenchi per l'esercizio di un'attività professionale, in forma individuale, associata o
societaria, anche in conformità al decreto legislativo 2 febbraio 2001, n. 96 e all'art. 10 della legge 12 novembre 2011, n. 183;
b) soggetti iscritti nei corrispondenti albi o elenchi speciali, istituiti anche ai sensi dell'art. 34 del regio decreto-legge 27 novembre 1933, n.
1578 e successive modificazioni e integrazioni, recante l'ordinamento della professione di avvocato;
c) sostituti e ausiliari che collaborano con il libero professionista ai sensi dell'art. 2232 del codice civile, praticanti e tirocinanti, qualora tali
soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare dati attinenti ai clienti.
I dati relativi a terzi possono essere trattati solo ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali
richieste dai clienti per scopi determinati e legittimi.
Capo IV - MEDIAZIONE FINALIZZATA ALLA CONCILIAZIONE DELLE CONTROVERSIE CIVILI E COMMERCIALI
1) Soggetti ai quali è rilasciata l'autorizzazione e finalità del trattamento.
a) Per il perseguimento della finalità di rilevante interesse pubblico individuata dall'art. 69 del Codice (Onorificenze, ricompense e
riconoscimenti) sono autorizzati, anche senza richiesta, a trattare i dati giudiziari di cui all'art. 4, comma 1, lett. e), del Codice per
adempiere ad obblighi previsti da disposizioni di legge e regolamento in materia di mediazione finalizzata alla conciliazione delle
controversie civili e commerciali:
1. gli organismi di mediazione costituiti da enti privati di cui all'art. 1, comma 1, lett. d), del d. lg. 28/2010 e successive modificazioni e
integrazioni, con riferimento ai dati dei soci, associati, amministratori e rappresentanti, nonché dei mediatori iscritti;
2. gli organismi di mediazione costituiti da enti pubblici di cui all'art. 1, comma 1, lett. d), del d. lg. 28/2010 e successive modificazioni e
integrazioni, con riferimento ai dati dei mediatori iscritti;
3. gli enti di formazione di cui all'art. 16, comma 5, del d. lg. 28/2010 e successive modificazioni e integrazioni, e art. 1, comma 1, lett. n)
del d. m. n. 180/2010 con riferimento ai dati dei soci, associati, amministratori e rappresentanti;
b) Per il perseguimento delle finalità di rilevante interesse pubblico individuate dall'art. 69 del Codice (Onorificenze, ricompense e
riconoscimenti), nonché dall'art. 67 del Codice (Attività di controllo e ispettive) il Ministero della giustizia è autorizzato a trattare i dati
giudiziari di cui all'art. 4, comma 1, lett. e), del Codice ai sensi dell'art. 16 del d. lg. 28/2010 e successive modificazioni e integrazioni,
nonché relative disposizioni attuative, per la gestione del registro degli organismi di mediazione e dell'elenco degli enti di formazione e per
la verifica dei requisiti di onorabilità di cui al d. m. n. 180/2010 di soci, associati, amministratori e rappresentanti degli organismi di
mediazione e degli enti di formazione di natura privata, nonché dei singoli mediatori.
2) Interessati ai quali i dati si riferiscono.
Il trattamento può riguardare i soli dati giudiziari relativi ai requisiti di onorabilità previsti dal d. m. n. 180/2010 previsti per soci, associati,
amministratori e rappresentanti degli organismi di mediazione e degli enti di formazione di natura privata, nonché dei singoli mediatori
("non avere riportato condanne definitive per delitti non colposi o a pena detentiva non sospesa; non essere incorso nell'interdizione
perpetua o temporanea dai pubblici uffici; non essere stato sottoposto a misure di prevenzione o di sicurezza" - art. 4 d. m. n. 180/2010).
3) Categorie di dati e operazioni di trattamento.
Il trattamento può riguardare i soli dati giudiziari e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione
alla specifica finalità perseguita, nei limiti stabiliti dalle norme di legge e regolamento.
4) Comunicazione dei dati.
Il Ministero della giustizia, nell'ambito dei poteri di vigilanza e controllo attribuitigli dalla normativa di settore può comunicare i dati
giudiziari di cui all'art. 4, comma 1, lett. e) del Codice:
- agli organismi di mediazione e agli enti di formazione di natura privata in relazione ai requisiti di onorabilità previsti dagli artt. 4, comma
2, lett. c) e 18, comma 2, lett. b), del d. m. n. 180/2010 per i propri soci, associati, amministratori e rappresentanti;
- agli organismi di mediazione di natura pubblica e privata in relazione ai requisiti di onorabilità previsti dall'art. 4, comma 3, lett. c), del d.
m. 180/2010 per i mediatori individuati nei propri elenchi.
Capo V - IMPRESE BANCARIE ED ASSICURATIVE ED ALTRI TITOLARI DEI TRATTAMENTI
1) Ambito di applicazione e finalità del trattamento.
L'autorizzazione è rilasciata, anche senza richiesta:
a) ad imprese autorizzate o che intendono essere autorizzate all'esercizio dell'attività bancaria e creditizia, assicurativa o dei fondi pensione,
anche se in stato di liquidazione coatta amministrativa, ai fini:
1) dell'accertamento, nei casi previsti dalle leggi e dai regolamenti, del requisito di onorabilità nei confronti di soci e titolari di cariche
direttive o elettive;
2) dell'accertamento, nei soli casi espressamente previsti dalla legge, di requisiti soggettivi e di presupposti interdittivi;
3) dell'accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana;
4) dell'accertamento di situazioni di concreto rischio per il corretto esercizio dell'attività assicurativa, in relazione ad illeciti direttamente
connessi con la medesima attività. Per questi ultimi casi, limitatamente ai trattamenti di dati registrati in una specifica banca di dati ai sensi
dell'art. 4, comma 1, lett. p), del Codice, il titolare deve inviare al Garante una dettagliata relazione sulle modalità del trattamento;
b) a soggetti titolari di un trattamento di dati svolto nell'ambito di un'attività di richiesta, acquisizione e consegna di atti e documenti presso
i competenti uffici pubblici, effettuata su incarico degli interessati;
c) alle società di intermediazione mobiliare, alle società di investimento a capitale variabile, alle società di gestione del risparmio e dei
fondi pensione e alle società di gestione dei mercati regolamentati o alle società di gestione accentrata di strumenti finanziari ai fini
dell'accertamento dei requisiti di onorabilità in applicazione della normativa in materia di intermediazione finanziaria e di previdenza o di
forme pensionistiche complementari, e di eventuali altre norme di legge o di regolamento;
d) alle società operanti nel settore del rating, limitatamente alle informazioni strettamente indispensabili a verificare la sussistenza o meno
dei requisiti di onorabilità in capo ai soli soci responsabili di incarichi di revisione presso società italiane che abbiano emesso strumenti
finanziari quotati su mercati finanziari non nazionali, in relazione ai comportamenti penalmente rilevanti individuati dalla normativa
nazionale e al fine di consentire la registrazione della società (e degli stessi soci) presso le organizzazioni governative responsabili della
stabilità e trasparenza dei mercati finanziari di riferimento.
2) Ulteriori trattamenti.
L'autorizzazione è rilasciata altresì:
a) a chiunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle
procedure di arbitrato, di mediazione e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai
contratti collettivi, sempre che il diritto da far valere o difendere sia di rango pari a quello dell'interessato e i dati siano trattati
esclusivamente per tale finalità e per il periodo strettamente necessario per il suo perseguimento;
b) a chiunque, per l'esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto previsto dalle leggi e dai regolamenti in
materia;
c) a persone fisiche e giuridiche, istituti, enti ed organismi che esercitano un'attività di investigazione privata autorizzata con licenza
prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni).
Il trattamento deve essere necessario:
1. per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto di rango pari a quello
del soggetto al quale si riferiscono i dati, ovvero un diritto della personalità o un altro diritto fondamentale ed inviolabile;
2. su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito
da utilizzare ai soli fini dell'esercizio del diritto alla prova (articolo 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397) e
nel rispetto delle regole di comportamento dettate dal "Codice di deontologia e di buona condotta per i trattamenti di dati personali
effettuati per svolgere investigazioni difensive" (deliberazione del Garante n. 60 del 6 novembre 2008, G. U. 24 novembre 2008, n. 275)
che costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti di dati personali effettuati anche da avvocati,
nell'ambito dello svolgimento del proprio incarico professionale ai sensi dell'art. 12, comma 3 del Codice;
d) a chiunque, per adempiere ad obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o in
materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, contenute anche
nella legge 19 marzo 1990, n. 55, e successive modificazioni ed integrazioni, e nel decreto legislativo 6 settembre 2011, n. 159 recante il
"Codice delle leggi antimafia e delle misure di prevenzione, nonché nuove disposizioni in materia di documentazione antimafia, a norma
degli artt. 1 e 2 della legge 13 agosto 2010, n. 136", e successive modificazioni ed integrazioni, o per poter produrre la documentazione
prescritta dalla legge per partecipare a gare d'appalto;
e) a chiunque, ai fini dell'accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d'appalto, in
adempimento di quanto previsto dalla normativa in materia di appalti.
Capo VI - DOCUMENTAZIONE GIURIDICA
1) Ambito di applicazione e finalità del trattamento
L'autorizzazione è rilasciata per il trattamento, ivi compresa la diffusione, di dati relativi a sentenze e altri provvedimenti giurisdizionali,
per finalità di informazione giuridica, ovvero di documentazione, di studio e di ricerca in campo giuridico. Il trattamento, disciplinato dagli
artt. 51 e 52 del Codice, deve essere effettuato nel rispetto delle indicazioni fornite nelle "Linee guida in materia di trattamento di dati
personali nella riproduzione di provvedimenti giurisdizionali per finalità di informazione giuridica" (deliberazione del Garante del 2
dicembre 2010, G.U. 4 gennaio 2011, n. 2).
Capo VII - PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI
Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni:
1) Dati trattati.
Possono essere trattati i soli dati essenziali per le finalità per le quali è ammesso il trattamento e che non possano essere adempiute, caso
per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
2) Modalità di trattamento.
Il trattamento dei dati deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati
strettamente indispensabili in rapporto agli obblighi, ai compiti o alle finalità precedentemente indicati. Fuori dei casi previsti dai Capi V,
punto 2 e VI, o nei quali la notizia è acquisita da fonti accessibili a chiunque, i dati devono essere forniti dagli interessati nel rispetto della
disciplina prevista dal D.P.R. 14 novembre 2002, n. 313 e successive modificazioni.
3) Conservazione dei dati.
Con riferimento all'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per il periodo di tempo
previsto da leggi o regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per le finalità perseguite.
Ai sensi dell'art. 11, comma 1, lett. c), d) ed e) del Codice, i soggetti autorizzati verificano periodicamente l'esattezza e l'aggiornamento dei
dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi. Al fine di assicurare
che i dati siano strettamente pertinenti, non eccedenti e indispensabili rispetto alle finalità medesime, i soggetti autorizzati valutano
specificamente il rapporto tra i dati e i singoli obblighi, compiti e prestazioni. I dati che, anche a seguito delle verifiche, risultino eccedenti
o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del
documento che li contiene. Specifica attenzione è prestata per la verifica dell'essenzialità dei dati riferiti a soggetti diversi da quelli cui si
riferiscono direttamente gli obblighi, i compiti e le prestazioni.
4) Comunicazione e diffusione.
I dati possono essere comunicati e, ove previsto dalla legge, diffusi, a soggetti pubblici o privati nei limiti strettamente indispensabili per le
finalità perseguite e nel rispetto, in ogni caso, del segreto professionale e delle altre prescrizioni sopraindicate.
5) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione al Garante, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante si riserva l'adozione di ogni altro provvedimento per i trattamenti non considerati nella presente autorizzazione.
Per quanto riguarda invece i trattamenti disciplinati nel presente provvedimento, il Garante non prenderà in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformità alle relative prescrizioni, salvo che, ai sensi dell'art. 41 del Codice, il loro
accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
6) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più
restrittivi in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute nell'art. 8 della legge 20 maggio 1970, n.
300, fatto salvo dall'art. 113 del Codice, che vieta al datore di lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di
effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini
della valutazione dell'attitudine professionale del lavoratore e dall'art. 10 del d. lg. 10 settembre 2003, n. 276, che vieta alle agenzie per il
lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare determinate indagini o comunque trattamenti di dati ovvero di
preselezione di lavoratori.
Restano fermi, altresì, gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie
coperte dal segreto professionale, nonché gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
7) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante
ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 8: AUTORIZZAZIONE GENERALE AL TRATTAMENTO DEI DATI GENETICI
Autorizzazione n. 8/2013 - Autorizzazione generale al trattamento dei dati genetici
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 571 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa
Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice");
Visto, in particolare, l'art. 90, comma 1, del citato Codice, secondo cui il trattamento dei dati genetici da chiunque effettuato è consentito
nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute che acquisisce, a tal fine, il parere del
Consiglio superiore di sanità;
Visto, altresì, l'art. 90, comma 2, del Codice, in base al quale l'autorizzazione individua anche gli ulteriori elementi da includere
nell'informativa ai sensi dell'art. 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in
relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo
trattamento per motivi legittimi;
Vista l'autorizzazione generale del Garante n. 2/2005 che richiama espressamente (punto 1.4) l'autorizzazione n. 2/2002 (punto 2, lett. b)),
relativa al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, secondo la quale i dati genetici trattati per fini di
prevenzione, di diagnosi o di terapia nei confronti dell'interessato, ovvero per finalità di ricerca scientifica, "possono essere utilizzati
unicamente per tali finalità o per consentire all'interessato di prendere una decisione libera e informata, ovvero per finalità probatorie in
sede civile o penale, in conformità alla legge";
Vista l'autorizzazione al trattamento dei dati genetici del 22 febbraio 2007 rilasciata dal Garante, ai sensi dell'art. 90 del Codice, in
sostituzione delle prescrizioni già impartite in materia di dati genetici con la citata autorizzazione generale richiamata dall'autorizzazione n.
2/2005, dopo aver sentito il Ministro della salute, che ha acquisito il parere del Consiglio superiore di sanità;
Considerata la necessità di assicurare, nella disciplina del trattamento dei dati personali, un elevato livello di tutela per i diritti e le libertà
fondamentali, nonché per la dignità delle persone e, in particolare, per il diritto alla protezione dei dati personali sancito all'art. 1 del
Codice; ciò, anche riducendo al minimo i rischi di danno o di pericolo valutati sulla base delle raccomandazioni adottate in materia di dati
sanitari dal Consiglio d'Europa e, in particolare, dalla Raccomandazione n. R(97) 5; rilevato che in base a quest'ultima sono considerati dati
genetici tutti i dati, di qualunque tipo, che riguardano i caratteri ereditari di un individuo o che sono in rapporto con i caratteri che formano
il patrimonio di un gruppo di individui affini (par. 1), dati che, nel quadro della più ampia categoria dei "dati sanitari", possano essere
trattati solo a determinate condizioni (par. 1);
Rilevato che la Raccomandazione del Consiglio d'Europa n. R(92) 3 sui test e gli screening genetici a fini di cura afferma (principio n. 8)
che la raccolta e la conservazione di sostanze e di campioni biologici, così come il trattamento dei dati che ne derivano, devono essere
effettuati in conformità ai principi fondamentali di protezione e di sicurezza dei dati stabiliti dalla Convenzione per la protezione degli
individui con riguardo al trattamento automatizzato dei dati personali n. 108 del 28 gennaio 1981, nonché dalle pertinenti raccomandazioni
del Comitato dei ministri in materia;
Rilevato che, riguardo al trattamento dei dati genetici, sono desumibili altri importanti princìpi da alcune fonti internazionali e comunitarie
tra le quali figurano:
a) la Convenzione sui diritti dell'uomo e sulla biomedicina, fatta a Oviedo il 4 aprile 1997, che vieta qualsiasi forma di discriminazione nei
confronti di una persona in ragione del suo patrimonio genetico (art. 11) e limita l'espletamento di test genetici predittivi ai soli fini medici
o di ricerca medica e sulla base di una consulenza genetica appropriata (art. 12);
b) la Dichiarazione universale sul genoma umano e i diritti umani dell'Unesco dell'11 novembre 1997, che sancisce il diritto della persona
al rispetto della dignità e dei propri diritti indipendentemente dalle sue caratteristiche genetiche (art. 2) e vieta ogni discriminazione basata
sulle caratteristiche genetiche che abbia per fine o sortisca l'effetto di violare i diritti umani, le libertà fondamentali e la dignità umana (art.
6);
c) la Carta dei diritti fondamentali dell'Unione europea, proclamata a Nizza il 7 dicembre 2000, che vieta qualsiasi forma di
discriminazione fondata, in particolare, sulle caratteristiche genetiche (art. 21);
d) la direttiva 2004/23/Ce del Parlamento europeo e del Consiglio del 31 marzo 2004, che prescrive l'adozione di misure necessarie di
protezione dei dati, compresi quelli genetici, e di altre misure di salvaguardia relativamente ad informazioni raccolte nell'ambito di attività
di donazione, approvvigionamento, controllo, lavorazione, conservazione, stoccaggio e distribuzione di tessuti e cellule umani destinati ad
applicazioni sull'uomo, nonché di prodotti fabbricati derivati da tessuti e cellule umani destinati ad applicazioni sull'uomo (art. 14);
e) la Convenzione sui diritti dell'uomo e sulla biomedicina (art. 10), la Dichiarazione universale sul genoma umano e i diritti umani (art. 5,
lett. c)) e la Dichiarazione internazionale sui dati genetici umani dell'Unesco del 16 ottobre 2003 (art. 10), le quali riconoscono, con
diverso ambito, il diritto di ogni individuo di essere o non essere informato dei risultati degli esami genetici e delle loro conseguenze
(ovvero dei risultati della ricerca medica e scientifica laddove i dati genetici, i dati proteomici dell'individuo o i campioni biologici siano
utilizzati per tali scopi);
f) il Codice di condotta dell'Organizzazione internazionale del lavoro sulla protezione dei dati personali dei lavoratori (novembre 1996), in
base al quale lo svolgimento di screening genetici sui lavoratori dovrebbe essere vietato o limitato a casi specifici autorizzati espressamente
dalla legge (art. 6.12);
g) la Dichiarazione di Helsinki dell'Associazione medica mondiale (giugno 1964 e successive modifiche e integrazioni), in base alla quale
occorre acquisire l'assenso della persona legalmente incapace, in aggiunta a quello del legale rappresentante, laddove la stessa sia in grado
di esprimere il proprio assenso a partecipare ad una ricerca (par. 29);
h) il documento di lavoro sui dati genetici adottato il 17 marzo 2004 (Wp 91) dal Gruppo per la tutela delle persone con riguardo al
trattamento dei dati personali, istituito dall'art. 29 direttiva n. 95/46/Ce che, nell'individuare le necessarie garanzie in materia di dati
genetici, afferma la necessità di prendere in considerazione e di disciplinare anche lo statuto giuridico dei campioni biologici, suscettibili
anch'essi di costituire una fonte di dati personali;
i) la Dichiarazione universale sul genoma umano e i diritti umani dell'Unesco dell'11 novembre 1997 (art. 5, lett. e)), il Protocollo
addizionale alla Convenzione sui diritti dell'uomo e sulla biomedicina relativo alla ricerca biomedica del 25 gennaio 2005 (art. 15), la
Dichiarazione universale sulla bioetica e i diritti umani dell'Unesco del 19 ottobre 2005 (art. 7) e il Protocollo addizionale alla
Convenzione sui diritti dell'uomo e sulla biomedicina relativo ai test genetici per fini medici del 27 novembre 2008 (artt. 10 ss.), che
fissano particolari cautele per le ricerche genetiche che coinvolgono persone incapaci di fornire il proprio consenso;
l) la Dichiarazione internazionale sui dati genetici umani dell'Unesco (art. 18) e la Raccomandazione del Consiglio d'Europa n. R(2006) 4
sulla ricerca su materiale biologico di origine umana (principio n. 16) che evidenziano l'esigenza di regolare il trasferimento all'estero del
materiale biologico e dei relativi dati personali garantendo che i paesi di destinazione assicurino una protezione adeguata;
Visti il d. lg. 24 giugno 2003, n. 211 e successive modifiche e integrazioni, il d.lg. 6 novembre 2007, n. 200, nonché i decreti ministeriali
in materia di sperimentazioni cliniche di medicinali e, in particolare, il d.m. 21 dicembre 2007 recante "Modalità di inoltro della richiesta
di autorizzazione all'Autorità competente, per la comunicazione di emendamenti sostanziali e la dichiarazione di conclusione della
sperimentazione clinica e per la richiesta di parere al comitato etico";
Vista la legge 19 febbraio 2004, n. 40, recante "Norme in materia di procreazione medicalmente assistita";
Visto, altresì, l'Accordo del 15 luglio 2004 tra il Ministro della salute, le regioni e le province autonome di Trento e Bolzano sul
documento recante le "Linee-guida per le attività di genetica medica" (in G.U. 23-9-2004, n. 224);
Vista la legge 6 marzo 2001, n. 52 recante "Riconoscimento del Registro nazionale italiano dei donatori di midollo osseo";
Vista la legge 21 ottobre 2005, n. 219, che disciplina le attività trasfusionali e la produzione nazionale degli emoderivati, l'ordinanza del
Ministro della salute del 26 febbraio 2009 recante " Disposizioni in materia di conservazione di cellule staminali da sangue del cordone
ombelicale" (in G.U. 10-3-2009, n. 57), il d.m. 18 novembre 2009 recante "Disposizioni in materia di conservazione di cellule staminali da
sangue del cordone ombelicale per uso autologo – dedicato", nonché il d.m. 10 ottobre 2012 recante "Modalità per l'esportazione o
l'importazione di tessuti, cellule e cellule riproduttive umani destinati ad applicazioni sull'uomo";
Visti il d.lg. 6 novembre 2007, n. 191 e il d.lg. 25 gennaio 2010, n. 16 in materia di qualità e di sicurezza per la donazione,
l'approvvigionamento, il controllo, la lavorazione, la conservazione, lo stoccaggio e la distribuzione di tessuti e cellule umani;
Visto il d.lg. 20 dicembre 2007, n. 261 recante revisione del d.lg. 19 agosto 2005, n. 191 di attuazione della direttiva 2002/98/CE che
stabilisce norme di qualità e di sicurezza per la raccolta, il controllo, la lavorazione, la conservazione e la distribuzione del sangue umano e
dei suoi componenti;
Visto il d.lg. 4 marzo 2010, n. 28 e successive modifiche e integrazioni di attuazione dell'art. 60 della legge 18 giugno 2009, n. 69 in
materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali e il d.m. del 18 ottobre 2010, n. 180 e
successive modifiche e integrazioni emanato ai sensi dell'art. 16 del predetto decreto legislativo;
Considerato che il procedimento di mediazione può comportare il trattamento di dati genetici riferiti alle parti della mediazione e ad altri
soggetti eventualmente coinvolti nel procedimento medesimo, in conformità alla legge (si pensi, ad esempio, ai procedimenti inerenti il
risarcimento del danno da responsabilità medica);
Ritenuto pertanto necessario autorizzare al trattamento di dati genetici gli organismi di cui all'art. 1, comma 1, del d.lg. n. 28/2010 ove ciò
sia strettamente indispensabile per l'espletamento delle attività inerenti all'esercizio della mediazione finalizzata alla conciliazione delle
controversie civili e commerciali in conformità alla legge e secondo le prescrizioni già indicate, per gli organismi privati,
nell'autorizzazione generale n. 5 al trattamento dei dati sensibili da parte di diverse categorie di titolari e, per gli organismi pubblici, nel
provvedimento del Garante del 21 aprile 2011 che individua i tipi di dati e di operazioni eseguibili in relazione alla finalità di rilevante
interesse pubblico di cui all'art. 71, comma 1, lett. b) del Codice;
Considerato che, ai sensi degli artt. 76 e 81 del Codice, gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono
trattare i dati personali idonei a rivelare lo stato di salute per finalità di tutela della salute o dell'incolumità fisica dell'interessato solo con il
consenso di quest'ultimo, oppure (quando occorre tutelare la salute o l'incolumità fisica di un terzo o della collettività) anche senza il
consenso dell'interessato, ma previa autorizzazione del Garante;
Considerato che gli artt. 77, 78 e 79 del Codice prevedono modalità semplificate per l'informativa di cui all'art. 13 del medesimo Codice da
parte degli esercenti la professione sanitaria e degli organismi sanitari pubblici;
Visto il provvedimento del Garante del 19 luglio 2006 (in www.garanteprivacy.it, doc. web n. 1318699), con il quale, ai sensi degli artt.
78, comma 3, e 13, comma 3, del Codice, sono stati indicati gli elementi essenziali che il medico di medicina generale e il pediatra di libera
scelta devono includere nell'informativa da fornire all'interessato relativamente al trattamento dei dati personali;
Viste le "Linee guida per il trattamento di dati personali nell'ambito di sperimentazioni cliniche di medicinali" adottate dal Garante con
deliberazione n. 52 del 24 luglio 2008;
Considerato che, ai sensi degli artt. 23 e 26 del Codice, i privati e gli enti pubblici economici possono trattare i dati sensibili solo previa
autorizzazione del Garante e, ove richiesto, con il consenso scritto dell'interessato;
Considerato che un elevato numero di trattamenti di dati genetici è effettuato per finalità di prevenzione, di diagnosi o di terapia nei
confronti dell'interessato e per finalità di ricerca scientifica;
Considerato che l'art. 40 del Codice prevede il rilascio di autorizzazioni di carattere generale relative a determinate categorie di titolari o di
trattamenti e che tali autorizzazioni sinora rilasciate sono risultate un idoneo strumento per prescrivere misure uniformi a garanzia degli
interessati;
Considerata la specifica autorizzazione prevista dall'art. 90 del Codice, rilasciata dal Garante il 22 febbraio 2007, la cui efficacia è stata
prorogata da ultimo fino al 30 giugno 2011;
Considerata la nuova autorizzazione rilasciata il 24 giugno 2011, in conformità all'art. 90 del Codice, in sostituzione di quella in scadenza
il 30 giugno 2011, al fine di armonizzare le prescrizioni già impartite alla luce dell'esperienza maturata e delle osservazioni formulate da
parte di qualificati esperti della materia riguardanti in particolare: l'aggiornamento delle definizioni utilizzate, i trattamenti effettuati per la
tutela della salute di familiari in assenza del consenso dell'interessato, le ricerche scientifiche che coinvolgono minori o altri soggetti
vulnerabili senza comportare per loro alcun beneficio diretto, nonché la comunicazione ai familiari di dati genetici indispensabili per
evitare un grave pregiudizio per la loro salute;
Considerato che tale nuova autorizzazione è risultata uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati,
rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento;
Ritenuto opportuno pertanto rilasciare una nuova autorizzazione analoga alla precedente e in sostituzione di questa in scadenza il 31
dicembre 2013;
Ritenuto opportuno che anche tale nuova autorizzazione sia provvisoria e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice e,
in particolare, efficace per il periodo di dodici mesi;
Ritenuto opportuno prendere in considerazione con separato provvedimento il trattamento dei dati genetici effettuato da parte delle
categorie di soggetti pubblici ricompresi nei titoli I, II, e III della parte II del Codice, fatto salvo quanto previsto dall'art. 16 della legge 30
giugno 2009, n. 85 per la disciplina della banca dati nazionale del Dna per finalità di accertamento e repressione dei reati;
Ritenuto, all'esito dell'esperienza applicativa emersa in recenti casi di contenzioso, che le espressioni contenute nella presente
autorizzazione e inerenti all'esercizio di un diritto in sede giudiziaria (punto "2) Ambito di applicazione" e punto "3) Finalità del
trattamento") devono intendersi riferite al difensore, ai suoi collaboratori, alle parti e a ogni altro soggetto che effettui il trattamento per far
valere o difendere un diritto in sede giudiziaria;
Considerato che, fuori dei casi appena indicati, ulteriori trattamenti di dati genetici non ricompresi nella presente autorizzazione non
risultano allo stato leciti, anche in riferimento all'attività dei datori di lavoro volta a determinare l'attitudine professionale di lavoratori o di
candidati all'instaurazione di un rapporto di lavoro, anche se basata sul consenso dell'interessato, nonché all'attività delle imprese di
assicurazione;
Ritenuto opportuno che anche la presente autorizzazione sia a tempo determinato e riservata ogni determinazione in ordine alla sua
integrazione o modifica anche in relazione al rapido sviluppo della ricerca e delle tecnologie applicate alla genetica e all'evolversi delle
conoscenze nel settore;
Visto, altresì, l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B al medesimo Codice, recanti disposizioni e regole sulle
misure di sicurezza;
Visti gli artt. 41 e 167 del Codice;
Visti gli altri atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Licia Califano;
autorizza
ai sensi degli articoli 26, 40, 41 e 90 del Codice il trattamento dei dati genetici da parte dei soggetti sottoindividuati, secondo le
prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
1) Definizioni.
Ai fini della presente autorizzazione si intende per:
a) dato genetico, il risultato di test genetici o ogni altra informazione che, indipendentemente dalla tipologia, identifica le caratteristiche
genotipiche di un individuo trasmissibili nell'ambito di un gruppo di persone legate da vincoli di parentela;
b) campione biologico, ogni campione di materiale biologico da cui possono essere estratti dati genetici caratteristici di un individuo;
c) test genetico, l'analisi a scopo clinico di uno specifico gene o del suo prodotto o funzione o di altre parti del Dna o di un cromosoma,
volta a effettuare una diagnosi o a confermare un sospetto clinico in un individuo affetto (test diagnostico), oppure a individuare o
escludere la presenza di una mutazione associata ad una malattia genetica che possa svilupparsi in un individuo non affetto (test
presintomatico) o, ancora, a valutare la maggiore o minore suscettibilità di un individuo a sviluppare malattie multifattoriali (test predittivo
o di suscettibilità);
d) test farmacogenetico, il test genetico finalizzato all'identificazione di specifiche variazioni nella sequenza del Dna in grado di predire la
risposta "individuale" a farmaci in termini di efficacia e di rischio relativo di eventi avversi;
e) test farmacogenomico, il test genetico finalizzato allo studio globale delle variazioni del genoma o dei suoi prodotti correlate alla
scoperta di nuovi farmaci e all'ulteriore caratterizzazione dei farmaci autorizzati al commercio;
f) test sulla variabilità individuale, i test genetici che comprendono: il test di parentela volto alla definizione dei rapporti di parentela; il test
ancestrale volto a stabilire i rapporti di una persona nei confronti di un antenato o di una determinata popolazione o quanto del suo genoma
sia stato ereditato dagli antenati appartenenti a una particolare area geografica o gruppo etnico; il test di identificazione genetica volto a
determinare la probabilità con la quale un campione o una traccia di DNA recuperato da un oggetto o altro materiale appartenga a una
determinata persona;
g) screening genetico, il test genetico effettuato su popolazioni o su gruppi definiti, comprese le analisi familiari finalizzate a identificare mediante "screening a cascata"- le persone potenzialmente a rischio di sviluppare la malattia genetica, al fine di delinearne le caratteristiche
genetiche comuni o di identificare precocemente soggetti affetti o portatori di patologie genetiche o di altre caratteristiche ereditarie;
h) consulenza genetica, le attività di comunicazione volte ad aiutare l'individuo o la famiglia colpita da patologia genetica a comprendere le
informazioni mediche che includono la diagnosi e il probabile decorso della malattia, le forme di assistenza disponibili, il contributo
dell'ereditarietà al verificarsi della malattia, il rischio di ricorrenza esistente per sé e per altri familiari e l'opportunità di portarne a
conoscenza questi ultimi, nonché tutte le opzioni esistenti nell'affrontare il rischio di malattia e l'impatto che tale rischio può avere su scelte
procreative; nell'esecuzione di test genetici tale consulenza comprende inoltre informazioni sul significato, i limiti, l'attendibilita' e la
specificita' del test nonché le implicazioni dei risultati; a tale processo partecipano, oltre al medico e/o al biologo specialisti in genetica
medica, altre figure professionali competenti nella gestione delle problematiche psicologiche e sociali connesse alla genetica;
i) informazione genetica, le attività volte a fornire informazioni riguardanti le specifiche caratteristiche degli screening genetici.
2) Ambito di applicazione.
La presente autorizzazione è rilasciata:
a) agli esercenti le professioni sanitarie, in particolare ai genetisti medici, limitatamente ai dati e alle operazioni indispensabili per esclusive
finalità di tutela della salute dell'interessato o di un terzo appartenente alla stessa linea genetica dell'interessato;
b) agli organismi sanitari pubblici e privati, in particolare alle strutture cliniche di genetica medica, limitatamente ai dati e alle operazioni
indispensabili per esclusive finalità di tutela della salute dell'interessato o di un terzo appartenente alla stessa linea genetica dell'interessato;
c) a laboratori di genetica medica, limitatamente alle operazioni indispensabili rispetto a dati, parimenti indispensabili, destinati ad essere
trattati per esclusive finalità di prevenzione e di diagnosi genetica nei confronti dell'interessato, o destinati ad essere utilizzati ad esclusivi
fini di svolgimento delle indagini difensive o per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria o, ad
esclusivi fini di ricongiungimento familiare, per l'accertamento della sussistenza di vincoli di consanguineità di cittadini di Stati non
appartenenti all'Unione europea, apolidi e rifugiati;
d) alle persone fisiche o giuridiche, agli enti o agli istituti di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalità
di ricerca, limitatamente ai dati e alle operazioni indispensabili per esclusivi scopi di ricerca scientifica, anche statistica, finalizzata alla
tutela della salute dell'interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico, nell'ambito delle attività di
pertinenza della genetica medica, nonché per scopi di ricerca scientifica volti a sviluppare le tecniche di analisi genetica;
e) agli psicologi, ai consulenti tecnici e ai loro assistenti, nell'ambito di interventi pluridisciplinari di consulenza genetica, limitatamente ai
dati e alle operazioni indispensabili per esclusive finalità di consulenza nei confronti dell'interessato o dei suoi familiari;
f) ai farmacisti, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di adempimento agli obblighi derivanti da un
rapporto di fornitura di farmaci all'interessato;
g) ai difensori, anche a mezzo di sostituti, consulenti tecnici e investigatori privati autorizzati, limitatamente alle operazioni e ai dati
indispensabili per esclusive finalità di svolgimento di investigazioni difensive di cui alla legge 7 dicembre 2000 n. 397; è altresì rilasciata
per far valere o difendere un diritto anche da parte di un terzo- in sede giudiziaria, sempre che il diritto sia di rango almeno pari a quello
dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
h) agli organismi di mediazione pubblici e privati limitatamente alle operazioni e ai dati indispensabili per esclusive finalità di
espletamento delle attività inerenti all'esercizio della mediazione finalizzata alla conciliazione delle controversie civili e commerciali ai
sensi del d.lg. 4 marzo 2010, n. 28 e successive modifiche e integrazioni, in conformità alla legge e nel rispetto, per gli organismi privati,
delle prescrizioni dell'autorizzazione generale n. 5 al trattamento dei dati sensibili da parte di diverse categorie di titolari e, per gli
organismi pubblici, del provvedimento del Garante del 21 aprile 2011 che individua i tipi di dati e di operazioni eseguibili in relazione alla
finalità di rilevante interesse pubblico di cui all'art. 71, comma 1, lett. b) del Codice;
i) agli organismi internazionali ritenuti idonei dal Ministero degli affari esteri e alle rappresentanze diplomatiche o consolari per il rilascio
delle certificazioni (allo stato disciplinate dall'art. 52 d.lg. 3 febbraio 2011, n. 71) ad esclusivi fini di ricongiungimento familiare e
limitatamente ai casi in cui l'interessato non possa documentare in modo certo i suoi vincoli di consanguineità mediante certificati o
attestazioni rilasciati da competenti autorità straniere, in ragione della mancanza di un'autorità riconosciuta o comunque quando sussistano
fondati dubbi sulla autenticità della predetta documentazione.
3) Finalità del trattamento.
3.1 Possono essere trattati dati genetici e utilizzati campioni biologici inerenti alle seguenti finalità che non possano essere adempiute, caso
per caso, mediante il trattamento di dati o campioni anonimi o di dati personali non genetici:
a) tutela della salute, con particolare riferimento alle patologie di natura genetica e alla tutela dell'identità genetica dell'interessato, con il
suo consenso, salvo quanto previsto dagli artt. 26 e 82 del Codice in riferimento al caso in cui l'interessato non possa prestare il proprio
consenso per incapacità d'agire, impossibilità fisica o incapacità di intendere o di volere;
b) tutela della salute, con particolare riferimento alle patologie di natura genetica e tutela dell'identità genetica di un terzo appartenente alla
stessa linea genetica dell'interessato con il consenso di quest'ultimo; nel caso in cui il consenso dell'interessato non sia prestato o non possa
essere prestato per impossibilità fisica, per incapacità di agire o per incapacità d'intendere o di volere, nonché per effettiva irreperibilità, il
trattamento può essere effettuato limitatamente a dati genetici disponibili qualora sia indispensabile per consentire al terzo di compiere una
scelta riproduttiva consapevole o sia giustificato dalla necessità, per il terzo, di interventi di natura preventiva o terapeutica. Nel caso in cui
l'interessato sia deceduto, il trattamento può comprendere anche dati genetici estrapolati dall'analisi dei campioni biologici della persona
deceduta, sempre che sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla
necessità, per il terzo, di interventi di natura preventiva o terapeutica;
c) ricerca scientifica e statistica, finalizzata alla tutela della salute dell'interessato, di terzi o della collettività in campo medico, biomedico
ed epidemiologico, anche nell'ambito della sperimentazione clinica di farmaci, o ricerca scientifica volta a sviluppare le tecniche di analisi
genetica (sempre che la disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi
scopi), da svolgersi con il consenso dell'interessato salvo che nei casi di indagini statistiche o di ricerca scientifica previste dalla legge o
negli altri casi di cui al par. 8.1 della presente autorizzazione.
Nell'ambito delle finalità di cui alle precedenti lettere a) e b) del presente punto, l'autorizzazione è rilasciata anche all'esclusivo fine di
consentire ai destinatari di adempiere o di esigere l'adempimento di specifici obblighi o di eseguire specifici compiti previsti dalla
normativa comunitaria, da leggi o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie
professionali, di diagnosi e cura, anche per le attività trasfusionali e i trapianti di organi, tessuti e cellule staminali emopoietiche, di
riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di tutela della salute mentale, di assistenza farmaceutica, in conformità
alla legge. Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario.
Il trattamento di dati genetici e l'utilizzo di campioni biologici per l'esecuzione di test presintomatici e di suscettibilità sono consentiti
limitatamente al perseguimento di finalità di tutela della salute, anche per compiere scelte riproduttive consapevoli e per scopi di ricerca
finalizzata alla tutela della salute.
3.2 La presente autorizzazione è rilasciata, altresì, quando il trattamento dei dati genetici sia indispensabile:
a) per lo svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di
sostituti, di consulenti tecnici e investigatori privati autorizzati, o, comunque, per far valere o difendere un diritto anche da parte di un terzo
in sede giudiziaria, anche senza il consenso dell'interessato eccetto il caso in cui il trattamento presupponga lo svolgimento di test genetici.
Ciò, sempre che il diritto da far valere o difendere sia di rango pari a quello dell'interessato, ovvero consistente in un diritto della
personalità o in un altro diritto o libertà fondamentale e inviolabile e i dati siano trattati esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento. Il trattamento deve essere comunque effettuato nel rispetto delle autorizzazioni generali del
Garante al trattamento dei dati sensibili da parte dei liberi professionisti e da parte degli investigatori privati (allo stato, autorizzazioni nn. 4
e 6/2013). Il trattamento può comprendere anche le informazioni relative a stati di salute pregressi o relative ai familiari dell'interessato;
b) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti espressamente dalla normativa
comunitaria, da leggi o da regolamenti in materia di previdenza e assistenza o in materia di igiene e sicurezza del lavoro o della
popolazione, anche senza il consenso dell'interessato, nei limiti previsti dall'autorizzazione generale del Garante al trattamento dei dati
sensibili nei rapporti di lavoro (allo stato, l'autorizzazione n. 1/2013) e ferme restando le disposizioni del codice di deontologia e di buona
condotta di cui all'articolo 111 del Codice. Il trattamento può comprendere anche le informazioni relative a stati di salute pregressi o
relative ai familiari dell'interessato;
c) per l'accertamento dei vincoli di consanguineità per il ricongiungimento familiare di cittadini di Stati non appartenenti all'Unione
europea, apolidi e rifugiati (attualmente disciplinato dal d.lg. 25 luglio 1998, n. 286). Non si considerano, in particolare, indispensabili i
trattamenti di dati genetici effettuati nonostante la disponibilità di procedure alternative che non comportano il trattamenti dei dati
medesimi.
4) Modalità di trattamento.
I destinatari della presente autorizzazione conformano il prelievo e l'utilizzo dei campioni biologici e il trattamento dei dati genetici
secondo modalità volte a prevenire la violazione dei diritti, delle libertà fondamentali e della dignità degli interessati. Tali attività sono
effettuate, comunque, in modo lecito e secondo correttezza, nonché per scopi determinati in conformità alla presente autorizzazione e resi
noti all'interessato nei modi indicati al successivo punto 5.
Sono predisposte specifiche misure per accertare univocamente l'identità del soggetto al quale viene prelevato il materiale biologico per
l'esecuzione dell'analisi (art. 11, comma 1, lett. c), del Codice).
Il trattamento dei dati genetici è effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati
strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
Restano fermi gli obblighi deontologici relativi alle singole figure professionali oggetto della presente autorizzazione.
4.1) Raccolta e conservazione.
La raccolta di dati genetici effettuata per l'esecuzione di test e di screening genetici è limitata alle sole informazioni personali e familiari
strettamente indispensabili all'esecuzione dell'analisi (art. 11, comma 1, lett. d), del Codice).
In particolare, nei trattamenti effettuati mediante test sulla variabilità individuale non sono raccolti dati sullo stato di salute o su altre
caratteristiche degli interessati, ad eccezione del sesso. Il campione è prelevato da un incaricato del laboratorio di genetica medica o da un
medico da esso designato ovvero, in caso di ricongiungimento familiare, da esercenti le professioni sanitarie appositamente incaricati dalle
rappresentanze diplomatiche o consolari o da organismi internazionali ritenuti idonei dal Ministero degli affari esteri.
4.2) Ricerca scientifica e statistica.
La ricerca scientifica e statistica, per il cui svolgimento è consentito il trattamento dei dati genetici e l'utilizzo dei campioni biologici, è
effettuata, altresì, sulla base di un progetto redatto conformemente agli standard del pertinente settore disciplinare, anche al fine di
documentare che il trattamento dei dati e l'utilizzo dei campioni biologici sia effettuato per idonei ed effettivi scopi scientifici. Possono
essere utilizzati a tal fine i dati e i campioni biologici strettamente pertinenti agli scopi perseguiti, avuto riguardo ai dati disponibili e ai
trattamenti già effettuati dallo stesso titolare, nonché all'esistenza di altre modalità che permettano di raggiungere gli scopi della ricerca
mediante dati personali diversi da quelli identificativi o genetici, ovvero che non comportino il prelievo di campioni biologici.
Il progetto specifica le misure da adottare nel trattamento dei dati personali per garantire il rispetto della presente autorizzazione, nonché
della normativa sulla protezione dei dati personali, anche per i profili riguardanti la custodia e la sicurezza dei dati e dei campioni
biologici, e individua gli eventuali responsabili del trattamento (artt. 29, 31, 33, 34 e 35 del Codice e Allegato B al medesimo Codice). In
particolare, laddove la ricerca preveda il prelievo e/o l'utilizzo di campioni biologici, il progetto indica l'origine, la natura e le modalità di
prelievo e di conservazione dei campioni, nonché le misure adottate per garantire la volontarietà del conferimento del materiale biologico
da parte dell'interessato.
Il progetto è conservato a cura del titolare in forma riservata almeno per un anno dopo la conclusione della ricerca. Il titolare fornisce le
informazioni contenute nel progetto agli interessati che ne facciano richiesta.
Quando le finalità della ricerca possono essere realizzate soltanto tramite l'identificazione anche temporanea degli interessati, il titolare
adotta specifiche misure per mantenere separati i dati identificativi dai campioni biologici e dalle informazioni genetiche già al momento
della raccolta, salvo che ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi
manifestamente sproporzionato.
4.3) Misure di sicurezza.
Per la custodia e la sicurezza dei dati genetici e dei campioni biologici sono adottate, in ogni caso, le seguenti cautele.
L'accesso ai locali è controllato mediante incaricati della vigilanza o strumenti elettronici che prevedano specifiche procedure di
identificazione anche mediante dispositivi biometrici. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e
registrate.
La conservazione, l'utilizzo e il trasporto dei campioni biologici sono posti in essere con modalità volte anche a garantirne la qualità,
l'integrità, la disponibilità e la tracciabilità.
Il trasferimento dei dati genetici in formato elettronico è effettuato con posta elettronica certificata previa cifratura delle informazioni
trasmesse da realizzarsi con firma digitale. E' ammesso il ricorso a canali di comunicazione di tipo "web application" che prevedano
protocolli di comunicazione sicuri e garantiscano, previa verifica, l'identità digitale del server che eroga il servizio e della postazione client
da cui si effettua l'accesso ai dati, ricorrendo a certificati digitali emessi in conformità alla legge da un'autorità di certificazione.
La consultazione dei dati genetici trattati con strumenti elettronici è consentita previa adozione di sistemi di autenticazione basati sull'uso
combinato di informazioni note agli incaricati e di dispositivi, anche biometrici, in loro possesso.
I dati genetici e i campioni biologici contenuti in elenchi, registri o banche di dati, sono trattati con tecniche di cifratura o mediante
l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero dei dati e dei campioni trattati, li rendano
temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità,
in modo da ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato. Laddove gli elenchi, i registri o le
banche di dati siano tenuti con strumenti elettronici e contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati,
le predette tecniche devono consentire, altresì, il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali che permettono
di identificare direttamente le persone interessate. Restano comunque fermi gli altri obblighi previsti dagli artt. 11, 14, 22 e 31 e seguenti
del Codice e le modalità tecniche in materia di misure minime di sicurezza indicate nel disciplinare tecnico allegato al medesimo Codice,
anche per ciò che attiene alla conservazione e al trasporto dei dati all'esterno dei locali protetti e all'accesso controllato a tali locali. Tali
obblighi vanno osservati anche in riferimento ai campioni biologici.
5) Informativa.
Salvo che per i trattamenti non sistematici di dati genetici effettuati dal medico di medicina generale e dal pediatra di libera scelta
nell'ambito degli ordinari rapporti con l'interessato per la tutela della salute e dell'incolumità fisica di quest'ultimo, l'informativa evidenzia,
oltre agli elementi previsti in base agli artt. 13, 77 e 78 del Codice:
a) l'esplicitazione analitica di tutte le specifiche finalità perseguite;
b) i risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici;
c) il diritto dell'interessato di opporsi al trattamento dei dati genetici per motivi legittimi;
d) la facoltà o meno, per l'interessato, di limitare l'ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici,
nonché l'eventuale utilizzo di questi per ulteriori scopi;
e) il periodo di conservazione dei dati genetici e dei campioni biologici.
Nel caso in cui sia previsto il trasferimento di dati genetici e di campioni anche in Paesi non appartenenti all'Unione europea l'informativa
deve specificare se tali Paesi non garantiscono un livello di tutela delle persone adeguato ai sensi degli artt. 43, 44 e 45 del Codice, nonché
gli estremi identificativi dei soggetti destinatari dei dati e dei campioni, al fine di garantire in concreto all'interessato la possibilità di
esercitare il controllo sui dati e sui campioni che lo riguardano.
Dopo il raggiungimento della maggiore età l'informativa è fornita all'interessato anche ai fini dell'acquisizione di una nuova manifestazione
del consenso quando questo è necessario (art. 82, comma 4, del Codice).
Per i trattamenti effettuati per scopi di ricerca scientifica e statistica l'informativa evidenzia, altresì:
a) che il consenso è manifestato liberamente ed è revocabile in ogni momento senza che ciò comporti alcuno svantaggio o pregiudizio per
l'interessato, salvo che i dati e i campioni biologici, in origine o a seguito di trattamento, non consentano più di identificare il medesimo
interessato;
b) gli accorgimenti adottati per consentire l'identificabilità degli interessati soltanto per il tempo necessario agli scopi della raccolta o del
successivo trattamento (art. 11, comma 1, lett. e), del Codice);
c) l'eventualità che i dati e/o i campioni biologici siano conservati e utilizzati per altri scopi di ricerca scientifica e statistica, per quanto
noto, adeguatamente specificati anche con riguardo alle categorie di soggetti ai quali possono essere eventualmente comunicati i dati
oppure trasferiti i campioni;
d) le modalità con cui gli interessati che ne facciano richiesta possono accedere alle informazioni contenute nel progetto di ricerca.
Per i trattamenti effettuati mediante test e screening genetici per finalità di tutela della salute, di ricerca o di ricongiungimento familiare,
l'informativa è resa all'interessato prima del prelievo, ovvero dell'utilizzo del suo campione biologico qualora lo stesso sia stato già
prelevato, anche in forma scritta, in modo specifico e comprensibile, anche quando il trattamento è effettuato da esercenti la professione
sanitaria o da organismi sanitari pubblici e privati che abbiano informato in precedenza il medesimo interessato utilizzando le modalità
semplificate previste dagli artt. 77, 78 e 79 del Codice.
I trattamenti per lo svolgimento delle investigazioni difensive o per l'esercizio di un diritto in sede giudiziaria possono essere effettuati
mediante l'esecuzione di test genetici soltanto previa informativa all'interessato da rendersi con le modalità sopra indicate.
5.1) Consulenza genetica e attività di informazione.
Per i trattamenti effettuati mediante test genetici per finalità di tutela della salute o di ricongiungimento familiare è fornita all'interessato
una consulenza genetica prima e dopo lo svolgimento dell'analisi. Prima dell'introduzione di screening genetici finalizzati alla tutela della
salute da parte di organismi sanitari sono adottate idonee misure per garantire un'attività di informazione al pubblico in merito alla
disponibilità e alla volontarietà dei test effettuati, alle specifiche finalità e conseguenze, anche nell'ambito di pubblicazioni istituzionali e
mediante reti di comunicazione elettronica.
Il consulente genetista aiuta i soggetti interessati a prendere in piena autonomia le decisioni ritenute più adeguate, tenuto conto del rischio
genetico, delle aspirazioni familiari e dei loro principi etico-religiosi, aiutandoli ad agire coerentemente con le scelte compiute, nonché a
realizzare il miglior adattamento possibile alla malattia e/o al rischio di ricorrenza della malattia stessa.
Sono adottate cautele idonee ad evitare che la consulenza genetica avvenga in situazioni di promiscuità derivanti dalle modalità utilizzate o
dai locali prescelti, nonché a prevenire l'indebita conoscenza da parte di terzi di informazioni genetiche o idonee a rivelare lo stato di
salute.
Nei casi in cui il test sulla variabilità individuale è volto ad accertare la paternità o la maternità gli interessati sono, altresì, informati circa
la normativa in materia di filiazione, ponendo in evidenza le eventuali conseguenze psicologiche e sociali dell'esame.
L'attuazione di ricerche scientifiche su isolati di popolazione è preceduta da un'attività di informazione presso le comunità interessate,
anche mediante mezzi di comunicazione di massa su base locale e presentazioni pubbliche, volta ad illustrare la natura della ricerca, le
finalità perseguite, le modalità di attuazione, le fonti di finanziamento e i rischi o benefici attesi per le popolazioni coinvolte. L'attività di
informazione evidenzia anche gli eventuali rischi di discriminazione o stigmatizzazione delle comunità interessate, nonché quelli inerenti
alla conoscibilità di inattesi rapporti di consanguineità e le azioni intraprese per ridurre al minimo tali rischi.
6) Consenso
In conformità a quanto previsto dagli artt. 23 e 26 del Codice, i dati genetici possono essere trattati e i campioni biologici utilizzati soltanto
per gli scopi indicati nella presente autorizzazione e rispetto ai quali la persona abbia manifestato previamente e per iscritto il proprio
consenso informato. In conformità all'art. 23 del Codice, il consenso resta valido solo se l'interessato è libero da ogni condizionamento o
coercizione e resta revocabile liberamente in ogni momento. Nel caso in cui l'interessato revochi il consenso al trattamento dei dati per
scopi di ricerca, è distrutto anche il campione biologico sempre che sia stato prelevato per tali scopi, salvo che, in origine o a seguito di
trattamento, il campione non possa più essere riferito ad una persona identificata o identificabile.
Per i trattamenti effettuati mediante test genetici, compreso lo screening, anche a fini di ricerca o di ricongiungimento familiare, deve essere
acquisito il consenso informato dei soggetti cui viene prelevato il materiale biologico necessario all'esecuzione dell'analisi. In questi casi,
all'interessato è richiesto di dichiarare se vuole conoscere o meno i risultati dell'esame o della ricerca, comprese eventuali notizie inattese
che lo riguardano, qualora queste ultime rappresentino per l'interessato un beneficio concreto e diretto in termini di terapia o di
prevenzione o di consapevolezza delle scelte riproduttive.
Per le informazioni relative ai nascituri il consenso è validamente prestato dalla gestante. Nel caso in cui il trattamento effettuato mediante
test prenatale possa rivelare anche dati genetici relativi alla futura insorgenza di una patologia del padre, è previamente acquisito anche il
consenso di quest'ultimo.
Quando il trattamento è necessario per la salvaguardia della vita e dell'incolumità fisica dell'interessato, e quest'ultimo non può prestare il
proprio consens0 per impossibilità fisica, incapacità d'agire o incapacità di intendere o di volere, il consenso è manifestato da chi esercita
legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l'interessato. Si applicano le disposizioni di cui all'art. 82 del Codice.
L'opinione del minore, nella misura in cui lo consente la sua età e il suo grado di maturità, è, ove possibile, presa in considerazione,
restando preminente in ogni caso l'interesse del minore. Negli altri casi di incapacità, il trattamento è consentito se le finalità perseguite
comportano un beneficio diretto per l'interessato e la sua opinione è, ove possibile, presa in considerazione, restando preminente in ogni
caso l'interesse dell'incapace.
I dati e i campioni biologici di persone che non possono fornire il proprio consenso per incapacità, possono essere trattati per finalità di
ricerca scientifica che non comportino un beneficio diretto per i medesimi interessati qualora ricorrano contemporaneamente le seguenti
condizioni:
a) la ricerca è finalizzata al miglioramento della salute di altre persone appartenenti allo stesso gruppo d'età o che soffrono della stessa
patologia o che si trovano nelle stesse condizioni e il programma di ricerca è oggetto di motivato parere favorevole del competente
comitato etico a livello territoriale;
b) una ricerca di analoga finalità non può essere realizzata mediante il trattamento di dati riferiti a persone che possono prestare il proprio
consenso;
c) il consenso al trattamento è acquisito da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato;
d) la ricerca non comporta rischi significativi per la dignità, i diritti e le libertà fondamentali degli interessati.
In tali casi, resta fermo quanto sopra previsto in ordine all'esigenza di tenere in considerazione, ove possibile, l'opinione del minore o
dell'incapace.
I trattamenti di dati connessi all'esecuzione di test genetici presintomatici possono essere effettuati sui minori non affetti, ma a rischio per
patologie genetiche solo nel caso in cui esistano concrete possibilità di terapie o di trattamenti preventivi prima del raggiungimento della
maggiore età. I test sulla variabilità individuale non possono essere condotti su minori senza che venga acquisito il consenso di ambedue i
genitori, ove esercitano entrambi la potestà sul minore.
I trattamenti di dati connessi all'esecuzione di test genetici per lo svolgimento delle investigazioni difensive o per l'esercizio di un diritto in
sede giudiziaria possono essere effettuati soltanto con il consenso informato della persona cui appartiene il materiale biologico necessario
all'indagine, salvo che un'espressa disposizione di legge, o un provvedimento dell'autorità giudiziaria in conformità alla legge, disponga
altrimenti.
7) Trattamenti in settori particolari.
I dati genetici trattati e i campioni biologici prelevati per l'esecuzione di test sulla variabilità individuale ai fini dello svolgimento delle
investigazioni difensive o per l'esercizio di un diritto in un procedimento penale non possono essere utilizzati per altri fini. I dati trattati e i
campioni biologici prelevati per l'esecuzione di test genetici a fini di prevenzione, di diagnosi o di terapia nei confronti dell'interessato o
per finalità di ricerca scientifica e statistica possono essere utilizzati per lo svolgimento delle investigazioni difensive o per l'esercizio di un
diritto in un procedimento penale, nel rispetto delle pertinenti disposizioni di legge.
8) Conservazione dei dati e dei campioni.
Con riferimento all'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice, i campioni biologici e i dati genetici possono essere
conservati per il periodo di tempo non superiore a quello strettamente necessario per adempiere agli obblighi o ai compiti indicati al punto
3 della presente autorizzazione o per perseguire le finalità ivi menzionate per le quali sono stati raccolti o successivamente utilizzati.
I campioni biologici prelevati e i dati genetici trattati per l'esecuzione di test e di screening genetici sono conservati per un periodo di
tempo non superiore a quello necessario allo svolgimento dell'analisi o al perseguimento degli scopi per i quali sono stati raccolti o
successivamente utilizzati.
I dati genetici trattati a fini di ricongiungimento familiare sono conservati per un periodo di tempo non superiore a quello necessario
all'esame dell'istanza di ricongiungimento, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li
contiene. A seguito del rigetto o dell'accoglimento dell'istanza, i campioni prelevati per l'accertamento dei vincoli di consanguineità devono
essere distrutti (art. 11, comma 1, lett. e), del Codice).
Ai sensi dell'art. 11, comma 1, lett. c), d) ed e), del Codice, i soggetti autorizzati verificano periodicamente l'esattezza e l'aggiornamento dei
dati, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con
riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non
pertinenti o non indispensabili non possono essere utilizzati.
8.1) Conservazione a fini di ricerca.
I campioni biologici prelevati e i dati genetici raccolti per scopi di tutela della salute possono essere conservati ed utilizzati per finalità di
ricerca scientifica o statistica, ferma restando la necessità di acquisire il consenso informato delle persone interessate, eccetto che nei casi
di indagini statistiche o ricerche scientifiche previste dalla legge o limitatamente al perseguimento di scopi scientifici e statistici
direttamente collegati con quelli per i quali è stato originariamente acquisito il consenso informato degli interessati. Quando a causa di
particolari ragioni non è possibile informare gli interessati malgrado sia stato compiuto ogni ragionevole sforzo per raggiungerli, la
conservazione e l'ulteriore utilizzo di campioni biologici e di dati genetici raccolti per la realizzazione di progetti di ricerca e indagini
statistiche, diversi da quelli originari, sono consentiti se una ricerca di analoga finalità non può essere realizzata mediante il trattamento di
dati riferiti a persone dalle quali può essere o è stato acquisito il consenso informato e:
a) il programma di ricerca comporta l'utilizzo di campioni biologici e di dati genetici che in origine non consentono di identificare gli
interessati, ovvero che, a seguito di trattamento, non consentono di identificare i medesimi interessati e non risulta che questi ultimi
abbiano in precedenza fornito indicazioni contrarie;
b) ovvero il programma di ricerca, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale, è autorizzato
appositamente dal Garante ai sensi dell'art. 90 del Codice.
9) Comunicazione e diffusione dei dati.
I dati genetici non possono essere comunicati e i campioni biologici non possono essere messi a disposizione di terzi salvo che sia
indispensabile per il perseguimento delle finalità indicate dalla presente autorizzazione.
I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti a enti e istituti
di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalità di ricerca, esclusivamente nell'ambito di progetti
congiunti.
I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti ai soggetti
sopra indicati, non partecipanti a progetti congiunti, limitatamente alle informazioni prive di dati identificativi, per scopi scientifici
direttamente collegati a quelli per i quali sono stati originariamente raccolti e chiaramente determinati per iscritto nella richiesta dei dati e/o
dei campioni. In tal caso, il soggetto richiedente si impegna a non trattare i dati e/o utilizzare i campioni per fini diversi da quelli indicati
nella richiesta e a non comunicarli o trasferirli ulteriormente a terzi.
I dati genetici raccolti a fini di ricongiungimento familiare possono essere comunicati unicamente alle rappresentanze diplomatiche o
consolari competenti all'esame della documentazione prodotta dall'interessato o all'organismo internazionale ritenuto idoneo dal Ministero
degli affari esteri cui questi si sia rivolto. I campioni biologici prelevati ai medesimi fini possono essere trasferiti unicamente al laboratorio
designato per l'effettuazione del test sulla variabilità individuale o all'organismo internazionale ritenuto idoneo dal Ministero degli affari
esteri.
Fermo restando quanto previsto dall'art. 84 del Codice, i dati genetici devono essere resi noti di regola direttamente all'interessato o a
persone diverse dal diretto interessato sulla base di una delega scritta di quest'ultimo, adottando ogni mezzo idoneo a prevenire la
conoscenza non autorizzata da parte di soggetti anche compresenti. La comunicazione nelle mani di un delegato dell'interessato è eseguita
in plico chiuso.
Gli esiti di test e di screening genetici, nonché i risultati delle ricerche qualora comportino per l'interessato un beneficio concreto e diretto
in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, devono essere comunicati al medesimo interessato anche
nel rispetto della sua dichiarazione di volontà di conoscere o meno tali eventi e, ove necessario, con un'appropriata consulenza genetica.
Gli esiti di test e di screening genetici, nonché i risultati delle ricerche, qualora comportino un beneficio concreto e diretto in termini di
terapia, prevenzione o di consapevolezza delle scelte riproduttive, anche per gli appartenenti alla stessa linea genetica dell'interessato,
possono essere comunicati a questi ultimi, su loro richiesta, qualora l'interessato vi abbia espressamente acconsentito oppure qualora tali
risultati siano indispensabili per evitare un pregiudizio per la loro salute, ivi compreso il rischio riproduttivo, e il consenso dell'interessato
non sia prestato o non possa essere prestato per effettiva irreperibilità.
In caso di ricerche condotte su popolazioni isolate, devono essere resi noti alle comunità interessate e alle autorità locali gli eventuali
risultati della ricerca che rivestono un'importanza terapeutica o preventiva per la tutela della salute delle persone appartenenti a tali
comunità.
I dati genetici non possono essere diffusi. I risultati delle ricerche non possono essere diffusi se non in forma aggregata, ovvero secondo
modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti, anche nell'ambito di pubblicazioni.
Fermo restando quanto previsto al punto 5) in ordine all'informativa all'interessato, il trasferimento anche temporaneo fuori dal territorio
dello Stato, con qualsiasi forma o mezzo, di dati genetici e/o di campioni biologici, verso un Paese non appartenente all'Unione europea è
consentito in conformità agli artt. 43, 44 e 45 del Codice.
10) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del
presente provvedimento, salvo che il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione, relative, ad esempio, al caso in cui la raccolta del consenso comporti un impiego di mezzi
manifestamente sproporzionato in ragione, in particolare, del numero di persone interessate.
11) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti
in materia di trattamento di dati genetici.
Resta fermo per il titolare del trattamento di dati genetici l'obbligo di effettuare, nei casi previsti, la notificazione al Garante prima
dell'inizio del trattamento medesimo (artt. 37 e 163 del Codice).
12) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014, salve eventuali modifiche che il Garante
ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Califano
SEGRETARIO GENERALE
Busia
AUTORIZZAZIONE N. 9: AUTORIZZAZIONE GENERALE AL TRATTAMENTO DEI DATI
PERSONALI EFFETTUATO PER SCOPI DI RICERCA SCIENTIFICA
Autorizzazione n. 9/2013 - Autorizzazione generale al trattamento dei dati personali effettuato per scopi di ricerca scientifica
(Gazzetta Ufficiale n. 302 del 27 dicembre 2013)
Registro dei provvedimenti
n. 572 del 12 dicembre 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa
Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali (di seguito "Codice");
VISTO l'art. 99, comma 1, del Codice in base al quale il trattamento di dati personali effettuato per scopi scientifici è considerato
compatibile con i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati;
VISTO l'art. 107 del Codice ove è stabilito che, fermo restando quanto previsto dall'art. 20 e fuori dei casi di particolari indagini statistiche
o di ricerca scientifica previste dalla legge, il consenso dell'interessato al trattamento di dati sensibili, quando è richiesto, può essere
prestato con modalità semplificate individuate dai codici di deontologia e buona condotta per i trattamenti di dati personali a scopi statistici
o scientifici di cui all'art. 106 e l'autorizzazione del Garante può essere rilasciata anche ai sensi dell'art. 40;
VISTO l'art. 110, comma 1, del Codice che consente di trattare dati personali idonei a rivelare lo stato di salute per scopi di ricerca
scientifica in campo medico, biomedico o epidemiologico, anche in assenza del consenso degli interessati, quando a causa di particolari
ragioni non sia possibile informarli e il programma di ricerca sia oggetto di motivato parere favorevole del competente comitato etico a
livello territoriale e sia autorizzato dal Garante, anche ai sensi dell'art. 40 del Codice;
VISTA l'autorizzazione del Garante n. 2/2013 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale e, in particolare, il
punto 1.2 che autorizza il trattamento di dati personali idonei a rivelare lo stato di salute per scopi di ricerca scientifica finalizzata alla
tutela della salute dell'interessato, di terzi o della collettività in campo medico, biomedico o epidemiologico, rinviando a quanto disposto
dagli artt. 106, 107 e 110 del Codice in ordine alla necessità di acquisire il consenso delle persone interessate;
VISTE le disposizioni del codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (Provv.
n. 2 del 16 giugno 2004, in G.U. 14 agosto 2004, n. 190, Allegato A.4 al Codice e reperibile sul sito Internet dell'Autorità, doc. web n.
1556635) applicabili anche ai trattamenti di dati effettuati per scopi di ricerca medica, biomedica o epidemiologica non connessi con
attività di tutela della salute svolte da esercenti professioni sanitarie od organismi sanitari, ovvero con attività comparabili in termini di
significativa ricaduta personalizzata sull'interessato (artt. 11 e 2, comma 2);
VISTO l'art. 2 del d.lg. 24 giugno 2003, n. 211 e successive modifiche e integrazioni che definisce «studi osservazionali» gli studi nei quali
"i medicinali sono prescritti secondo le indicazioni dell'autorizzazione all'immissione in commercio. L'assegnazione del paziente a una
determinata strategia terapeutica non è decisa in anticipo da un protocollo di sperimentazione, ma rientra nella normale pratica clinica e la
decisione di prescrivere il medicinale è del tutto indipendente da quella di includere il paziente nello studio. Ai pazienti non si applica
nessuna procedura supplementare di diagnosi o monitoraggio";
CONSIDERATO che un elevato numero di trattamenti di dati idonei a rivelare lo stato di salute e, ove indispensabili per il raggiungimento
delle finalità della ricerca, di dati idonei a rivelare la vita sessuale e l'origine razziale ed etnica, è effettuato da diversi titolari del
trattamento per la conduzione di studi finalizzati alla ricerca scientifica in campo medico, biomedico o epidemiologico, non aventi
significativa ricaduta personalizzata sull'interessato, che utilizzano dati raccolti in precedenza a fini di cura degli interessati o per
l'esecuzione di precedenti progetti di ricerca, ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute
o per l'esecuzione di precedenti progetti di ricerca;
CONSIDERATO che gli studi in questione non mirano soltanto a valutare la sicurezza e l'efficacia dei farmaci e di dispositivi medici nella
pratica clinica ma anche a verificarne l'appropriatezza prescrittiva o ad indagare le relazioni tra i fattori di rischio e la salute umana, oppure
vertono su eventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull'utilizzazione di strutture socio-sanitarie;
CONSIDERATO che, nell'ambito di tali studi, i dati oggetto di trattamento sono registrati nella documentazione clinica (o nella
documentazione inerente i precedenti studi in cui sono stati raccolti) conservata presso i centri di cura partecipanti in conformità alla legge,
oppure sono ricavati da campioni biologici asportati e conservati negli archivi di anatomia patologica dei medesimi centri o prelevati
nell'ambito di precedenti progetti di ricerca;
VISTI gli specifici provvedimenti di autorizzazione rilasciati dall'Autorità, ai sensi degli artt. 110, comma 1 (ultima parte) e 41 del Codice,
con i quali è stata autorizzata, anche in assenza del consenso degli interessati, la conduzione di studi, non aventi significativa ricaduta
personalizzata sull'interessato, effettuati con dati raccolti in precedenza per finalità di tutela della salute degli interessati o ricavati da
campioni biologici prelevati in precedenza per le stesse finalità; ciò, in quanto, a causa di comprovate particolari ragioni, è stata
documentata l'impossibilità di fornire loro l'informativa sul trattamento dei dati e il relativo programma di ricerca ha ricevuto un motivato
parere favorevole del comitato etico territorialmente competente;
CONSIDERATO che i trattamenti dei dati in questione possono essere autorizzati dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
CONSIDERATO che l'autorizzazione di carattere generale rilasciata, ai sensi dell'art. 40 del Codice, il 13 dicembre 2012, in relazione ai
trattamenti di dati idonei a rivelare lo stato di salute a scopi di ricerca scientifica effettuati, anche in assenza del consenso degli interessati,
per la conduzione di studi, non aventi significativa ricaduta personalizzata sull'interessato, con dati raccolti in precedenza per finalità di
tutela della salute o ricavati da campioni biologici prelevati in precedenza per la stessa finalità è risultata uno strumento idoneo per
prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da
parte di numerosi titolari del trattamento e semplificando, in maniera significativa, gli adempimenti degli obblighi relativi ai trattamenti di
dati per la conduzione di ricerche mediche, biomediche o epidemiologiche;
RITENUTO opportuno pertanto, alla luce dell'esperienza maturata, rilasciare una nuova autorizzazione in sostituzione di quella in
scadenza il 31 dicembre 2013, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata;
RITENUTO opportuno che anche tale nuova autorizzazione sia provvisoria e a tempo determinato, ai sensi dell'art. 41, comma 5, del
Codice e, in particolare, efficace per il periodo di dodici mesi;
RITENUTO altresì opportuno, in conformità a quanto previsto dall'art. 110 del Codice (ultima parte), prendere in considerazione ai fini
della presente autorizzazione i trattamenti per scopi di ricerca scientifica preordinati alla conduzione di studi che siano oggetto di motivato
parere favorevole del comitato etico competente a livello territoriale, non essendo a tal fine sufficiente la formazione del silenzio/assenso a
seguito della notifica dello studio al predetto comitato;
CONSIDERATO che, in virtù dell'art. 11 del menzionato codice deontologico per i trattamenti di dati personali per scopi statistici e
scientifici, il consenso non è necessario quando, ai sensi dell'art. 110 del Codice, non è possibile informare gli interessati per «motivi etici»,
ovvero per «motivi metodologici», ovvero per «motivi di impossibilità organizzativa»;
CONSIDERATO che, nelle richieste di autorizzazione finora sottoposte all'esame dell'Autorità, l'impossibilità di informare gli interessati è
risultata giustificata sulla base di «motivi etici» ovvero di «motivi di impossibilità organizzativa»;
RITENUTO opportuno quindi, alla luce dell'esperienza maturata, che i trattamenti di dati idonei a rivelare lo stato di salute per scopi di
ricerca scientifica preordinati alla conduzione di studi in campo medico, biomedico o epidemiologico in cui l'impossibilità di informare gli
interessati sia giustificata da «motivi metodologici» vengano sottoposti a specifici provvedimenti di autorizzazione del Garante;
RITENUTO che ai trattamenti oggetto della presente autorizzazione devono trovare applicazione anche le cautele contenute
nell'autorizzazione generale del Garante n. 2/2013 e nel codice deontologico sopra citati, in particolare per ciò che attiene ai criteri da
tenere in considerazione per non rendere identificabili gli interessati nelle fasi dello studio successive all'estrapolazione dei dati e alle
regole di condotta per gli incaricati e gli eventuali responsabili del trattamento;
RILEVATO che anche l'eventuale raccolta e la conservazione di campioni biologici, così come il trattamento dei dati che ne derivano,
devono essere effettuati in conformità ai principi fondamentali di protezione e di sicurezza dei dati (v. Raccomandazione del Consiglio
d'Europa n. R (92) 3 relativa ai test genetici ed allo screening genetico per scopi di natura sanitaria; Documento di lavoro sui dati genetici
del Gruppo Art. 29 della Dir. 95/46/CE, WP 91/2004);
CONSIDERATO che l'utilizzo di campioni biologici nell'ambito di ricerche scientifiche che comportano l'estrapolazione di dati genetici
deve essere effettuato nel rispetto dei limiti e delle condizioni contenute nella specifica autorizzazione generale del Garante n. 8/2013 al
trattamento dei dati genetici, rilasciata il 12 dicembre 2013 ai sensi dell'art. 90 del Codice;
VISTA altresì la Raccomandazione del Consiglio d'Europa n. R (2006) 4 che individua le condizioni e i limiti nel rispetto dei quali è
consentito l'utilizzo di materiale biologico per attività di ricerca, anche appartenente a persone decedute, prelevato per uno scopo diverso
da quello della sua conservazione a fini di ricerca, ivi compreso quello prelevato per l'esecuzione di un precedente progetto di ricerca;
considerato che tale Raccomandazione stabilisce che il materiale biologico prelevato per scopi diversi da quelli di conservazione a fini di
ricerca può essere messo a disposizione per attività di ricerca con il necessario consenso dell'interessato e che, a tal fine, dovrebbe essere
fatto ogni ragionevole sforzo per contattare la persona interessata, mentre ove tale contatto non sia possibile, il materiale biologico può
essere utilizzato per attività di ricerca soltanto se sono soddisfatti particolari requisiti (artt. 10, 12, 21 e 22);
VISTO il Codice di deontologia medica del 16 dicembre 2006 nella parte in cui prevede l'obbligo del segreto professionale da parte del
medico anche con riferimento ai pazienti deceduti (art. 10);
CONSIDERATO che la presente autorizzazione prende in considerazione quelle ipotesi residuali, ammesse dal Codice (art. 110), in cui il
necessario consenso degli interessati per il trattamento di dati sensibili a scopi di ricerca scientifica in campo medico, biomedico o
epidemiologico non sia stato previamente raccolto dai titolari del trattamento, sussistano delle particolari e comprovate circostanze dalle
quali derivi l'impossibilità di informare gli interessati e la ricerca non possa essere realizzata mediante il trattamento di dati anonimi o di
dati riferiti a individui che sia possibile contattare al fine di rendere l'informativa di cui all'art. 13 del Codice;
RILEVATO che, in ottemperanza ai principi, richiamati dall'art. 2, comma 2, del Codice, di semplificazione, armonizzazione ed efficacia
delle modalità di esercizio dei diritti degli interessati e di adempimento degli obblighi da parte dei titolari del trattamento, è auspicabile che
l'informativa sul trattamento di dati idonei a rivelare lo stato di salute per scopi di ricerca scientifica sia fornita all'interessato
contestualmente a quella sul trattamento dei dati a fini di cura, specie da parte di titolari del trattamento che perseguono finalità di ricerca
scientifica unitamente ad attività di ricovero e cura;
RITENUTO che, nell'ambito di detta informativa resa all'interessato, occorre distinguere chiaramente, con riferimento all'indicazione degli
elementi di cui all'art. 13 del Codice, i trattamenti effettuati per scopi di ricerca scientifica da quelli preordinati alla tutela della salute,
evidenziando in particolare la volontarietà della partecipazione alla ricerca, in modo da consentire all'interessato, di manifestare
consapevolmente un consenso libero e specifico rispetto ai differenti scopi perseguiti (artt. 13, 23, 78, comma 5, e 105, comma 2, del
Codice);
VISTO l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento
di dati personali non possono essere utilizzati;
VISTI gli artt. 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice in materia di misure minime di
sicurezza;
VISTI gli artt. 20, 26, 40, 41, 98, 107 e 110 del Codice;
VISTI gli artt. 162, comma 2-bis, 167, comma 2, e 170 del Codice che sanzionano il trattamento illecito dei dati personali e l'inosservanza
dei provvedimenti del Garante;
VISTI gli atti d'ufficio;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Licia Califano;
AUTORIZZA
il trattamento dei dati idonei a rivelare lo stato di salute e, solo ove indispensabili per il raggiungimento delle finalità della ricerca, dei dati
idonei a rivelare la vita sessuale e l'origine razziale ed etnica, anche in assenza del consenso degli interessati, per scopi di ricerca scientifica
in campo medico, biomedico o epidemiologico nel rispetto dei limiti e delle condizioni di seguito indicate.
1. Ambito di applicazione.
La presente autorizzazione è rilasciata:
a) alle università, agli altri enti o istituti di ricerca e società scientifiche, nonché ai ricercatori che operano nell'ambito di dette università,
enti, istituti di ricerca e ai soci di dette società scientifiche;
b) agli esercenti le professioni sanitarie e agli organismi sanitari nei limiti di cui all'art. 2, comma 2, del codice di deontologia e buona
condotta per i trattamenti di dati personali per scopi statistici e scientifici (Allegato A.4 al Codice).
Il trattamento dei dati oggetto della presente autorizzazione può essere altresì effettuato da persone fisiche o giuridiche, enti, associazioni e
organismi privati, nonché da soggetti specificatamente preposti al trattamento quali incaricati o responsabili (ricercatori, monitor,
commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.) (artt. 4, comma 1, lett. f), 28, 29 e 30 del Codice).
2. Finalità del trattamento: ricerca scientifica in campo medico, biomedico o epidemiologico.
1. La presente autorizzazione è rilasciata quando:
• il trattamento è necessario per la conduzione di studi, non aventi significativa ricaduta personalizzata sull'interessato, effettuati con dati
raccolti in precedenza a fini di cura della salute o per l'esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici
prelevati in precedenza per finalità di tutela della salute o per l'esecuzione di precedenti progetti di ricerca e
• la ricerca è effettuata sulla base di un progetto, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale,
secondo le modalità di cui all'art. 3 del codice di deontologia e buona condotta per i trattamenti di dati personali per scopi statistici e
scientifici (Allegato A.4 al Codice).
Gli studi oggetto della presente autorizzazione possono riguardare anche le relazioni tra i fattori di rischio e la salute umana, o mirano a
valutare la sicurezza e l'efficacia di farmaci o di dispositivi medici nella pratica clinica, o a verificare l'appropriatezza prescrittiva, oppure
vertono su eventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull'utilizzazione di strutture socio-sanitarie.
2. La presente autorizzazione non riguarda gli scopi della ricerca che possono essere realizzati, nel caso concreto, mediante:
• il trattamento di dati anonimi;
• il trattamento di dati riferiti ad interessati che sia possibile contattare al fine di rendere l'informativa e acquisirne il consenso.
3. Categorie di dati oggetto di trattamento.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art. 3 del Codice.
Il trattamento può riguardare unicamente i dati personali strettamente pertinenti ai sopra indicati scopi, ivi compresi quelli ricavati da
campioni biologici, salvo che questi non costituiscano «dati genetici» ai sensi dell'autorizzazione n. 8/2013 rilasciata dal Garante il 12
dicembre 2013 in virtù dell'art. 90 del Codice .
Il trattamento di dati genetici resta infatti autorizzato nei limiti e alle condizioni individuati nella predetta autorizzazione.
4. Impossibilità di informare gli interessati.
L'autorizzazione riguarda il trattamento dei dati degli interessati da includere nella ricerca che non è possibile contattare al fine di fornire
l'informativa - a causa della sussistenza di una delle seguenti ragioni, considerate del tutto particolari o eccezionali, documentate nel
progetto di ricerca:
1. Motivi etici riconducibili alla circostanza che l'interessato ignora la propria condizione. Rientrano in questa categoria le ricerche per le
quali l'informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione
dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi (possono rientrare in questa ipotesi,
ad esempio, gli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il
quale non esista un trattamento).
2. Motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di
interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella
ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; ciò avuto riguardo, in particolare,
ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al
periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo
studio riguarda interessati con patologie ad elevata incidenza di mortalità o in fase terminale della malattia o in età avanzata e in gravi
condizioni di salute).
Con riferimento a tali motivi di impossibilità organizzativa, è autorizzato il trattamento dei dati di coloro i quali, all'esito di ogni
ragionevole sforzo compiuto per contattarli, anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella
documentazione clinica, l'impiego dei recapiti telefonici eventualmente forniti, nonché l'acquisizione dei dati di contatto presso l'anagrafe
degli assistiti o della popolazione residente, risultino essere al momento dell'arruolamento nello studio:
- deceduti o
- non contattabili.
Resta fermo l'obbligo di raccogliere il consenso al trattamento dei dati degli interessati inclusi nella ricerca in tutti i casi in cui, nel corso
dello studio, sia possibile rendere loro un'adeguata informativa e, in particolare, laddove questi si rivolgano al centro di cura, anche per
visite di controllo.
5. Modalità di trattamento.
Il trattamento dei dati oggetto della presente autorizzazione è effettuato nel rispetto delle disposizioni del codice di deontologia e buona
condotta per i trattamenti di dati personali per scopi statistici e scientifici (Allegato A.4 al Codice) e unicamente con operazioni
strettamente indispensabili alla conduzione dello studio.
Ove la ricerca non possa raggiungere i suoi scopi senza l'identificazione, anche temporanea, degli interessati, nel trattamento successivo
alla raccolta retrospettiva dei dati, sono adottate tecniche di cifratura o utilizzati codici identificativi oppure altre soluzioni che, considerato
il numero dei dati trattati, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di
necessità. In questi casi, i codici utilizzati non sono desumibili dai dati personali identificativi degli interessati, salvo che ciò risulti
impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato e sia
motivato, altresì, per iscritto, nel progetto di ricerca.
L'abbinamento al materiale di ricerca dei dati identificativi dell'interessato, sempre che sia temporaneo ed essenziale per il risultato della
ricerca, è motivato, inoltre, per iscritto.
6. Comunicazione e diffusione.
I soggetti individuati al paragrafo 1) che agiscono in qualità di titolari del trattamento, anche unitamente ad altri titolari, possono
comunicare tra loro i dati personali oggetto della presente autorizzazione nella misura in cui rivestano il ruolo di promotore, di centro
coordinatore o di centro partecipante e l'operazione di comunicazione sia indispensabile per la conduzione dello studio.
I dati idonei a rivelare lo stato di salute degli interessati, nonché quelli relativi alla vita sessuale e all'origine razziale ed etnica utilizzati per
la conduzione dello studio non possono essere diffusi. I risultati delle ricerche possono essere diffusi in forma aggregata, ovvero secondo
modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti, anche nell'ambito di pubblicazioni.
7. Conservazione dei dati e dei campioni.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati e i campioni biologici utilizzati per
l'esecuzione della ricerca sono conservati mediante tecniche di cifratura o l'utilizzazione di codici identificativi oppure di altre soluzioni
che, considerato il numero dei dati e dei campioni conservati, non li rendono direttamente riconducibili agli interessati, per un periodo di
tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
A tal fine, è indicato nel progetto di ricerca il periodo di conservazione, successivo alla conclusione dello studio, al termine del quale i
predetti dati e campioni sono trasformati in forma anonima.
8. Custodia e sicurezza.
Fermo restando l'obbligo di adottare le misure minime di sicurezza previste dal Codice (artt. 33-35 e All. B) al Codice), sono impiegati
dal/i titolare/i del trattamento, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle
conseguenti responsabilità, specifiche misure e accorgimenti tecnici per incrementare il livello di sicurezza dei dati trattati per l'esecuzione
dello studio in conformità alle indicazioni contenute nelle "Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni
cliniche di medicinali" adottate dal Garante con Provvedimento del 24 luglio 2008 (doc. web n. 1533155).
Ciò, sia nella fase di memorizzazione o archiviazione dei dati (e, eventualmente, di raccolta e conservazione dei campioni biologici) sia
nella fase successiva di elaborazione delle medesime informazioni, nonché nella successiva fase di trasmissione dei dati al promotore o ai
soggetti esterni che collaborano con il primo per l'esecuzione dello studio. Sono adottati, in particolare:
a. idonei accorgimenti per garantire la protezione dei dati dello studio dai rischi di accesso abusivo ai dati, furto o smarrimento parziali o
integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione parziale o
integrale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure informatiche di protezione che
rendano inintelligibili i dati ai soggetti non legittimati) nelle operazioni di registrazione e archiviazione dei dati effettuate mediante
strumenti elettronici;
b. protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici nella trasmissione elettronica dei dati raccolti nell'ambito
dello studio a un database centralizzato in cui sono memorizzati o archiviati, nonché nella trasmissione in via telematica dei dati dello
studio al promotore o ai soggetti esterni di cui lo stesso promotore si avvale per la conduzione dello studio. Laddove detta trasmissione sia
effettuata mediante supporto ottico (CD-ROM) è designato un incaricato della ricezione presso il promotore ed è utilizzato, per la
condivisione della chiave di cifratura dei dati, un canale di trasmissione differente da quello utilizzato per la trasmissione del contenuto;
c. tecniche di etichettatura, nella conservazione e nella trasmissione di campioni biologici, mediante codici identificativi, oppure altre
soluzioni che, considerato il numero di campioni utilizzati, li rendono non direttamente riconducibili agli interessati, permettendo di
identificare questi ultimi solo in caso di necessità;
d. con specifico riferimento alle operazioni di elaborazione dei dati dello studio memorizzati su un database centralizzato, è necessario
adottare:
- idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento,
avendo cura di utilizzare credenziali di validità limitata alla durata dello studio e di disattivarle al termine dello stesso;
- procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli
incaricati del trattamento;
- sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.
9. Trasferimento all'estero.
Ove sia essenziale per il risultato della ricerca trasferire dati idonei a rivelare lo stato di salute, nonché quelli relativi alla vita sessuale e
all'origine razziale ed etnica degli interessati inclusi nello studio in Paesi non appartenenti all'Unione europea, in assenza del consenso
espresso, in forma scritta, degli interessati (art. 43, comma 1, lett. a), del Codice), il trasferimento è autorizzato dal Garante in presenza
degli ulteriori presupposti di cui all'art. 43 del Codice, o in conformità agli artt. 44 e 45 del Codice.
10. Richieste di autorizzazione.
I titolari del trattamento che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle sue prescrizioni.
Le richieste di autorizzazione pervenute o che perverranno, anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione, ai sensi dell'art. 110 del Codice (ultima parte), per trattamenti da
effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia
giustificato da circostanze o da situazioni non considerate nella presente autorizzazione.
11. Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2014 fino al 31 dicembre 2014.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 12 dicembre 2013
IL PRESIDENTE
Soro
IL RELATORE
Califano
IL SEGRETARIO GENERALE
Busia
LINEE GUIDA DEL GARANTE PER IL TRATTAMENTO DEI DATI PERSONALI DEI LAVORATORI
NEI RAPPORTI DI LAVORO PRIVATO
Il Garante per la tutela dei dati personali ha emanato un provvedimento generale che riepiloga le regole da
rispettare nel trattamento dei dati personali dei dipendenti nel rapporto di lavoro privato.
Il
provvedimento, in gran parte compilativo di principi, regole e casi già affrontati in precedenza dalla stessa
Autorità, non ha carattere innovativo, ma risulta utile e pratico per le imprese per individuare i casi pratici di
trattamento di dati (anche sensibili) più frequenti nella gestione del rapporto di lavoro e le corrette modalità di
trattamento.
Il provvedimento, suscettibile di futuri aggiornamenti da parte dell’Autorità, individua le tipologie di dati
personali che si trattano in azienda, le figure aziendali coinvolte nella gestione della privacy (titolare,
responsabile del trattamento, incaricati), tra le quali quella del medico competente.
Approfondisce, inoltre, i casi e le modalità lecite di trattamento e di conservazione in azienda di dati sensibili
(soprattutto quelli idonei a rivelare lo stato di salute, quali quelli sull’assenza per malattia e relativi certificati
sanitari e quelli derivanti dalle visite periodiche) e della loro comunicazione all’esterno ad enti previdenziali ed
assistenziali. Le linee guida ribadiscono gli obblighi di informativa al dipendente e, ove necessario, di
acquisizione del consenso dello stesso dipendente.
Vengono, infine, trattati anche i cosiddetti dati
“biometrici” di cui viene escluso un uso generalizzato, limitandolo (come già affermato in precedenti
provvedimenti) ai soli casi di particolari esigenze di accesso ad aree particolari (particolarmente “sensibili”)
dell’azienda.
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Linee guida in materia di trattamento di dati personali di
lavoratori per finalità di gestione del rapporto di
lavoro alle dipendenze di datori di lavoro privati
Deliberazione n. 53 del 23 novembre 2006
(Gazzetta Ufficiale N. 285 del 7 Dicembre 2006)
Registro delle deliberazioni
Del. n. 53 del 23 novembre 2006
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott.
Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), con particolare riferimento all'art. 154, comma
1, lett. h);
ESAMINATE le istanze (segnalazioni, reclami e quesiti) di lavoratori, organizzazioni sindacali ed imprese, pervenute in materia di
trattamento di dati personali di lavoratori operanti alle dipendenze di datori di lavoro privati;
VISTE le pronunce adottate dall'Autorità in ordine a specifiche operazioni di trattamento di dati personali effettuate nell'ambito della
gestione del rapporto di lavoro, anche a seguito di ricorso degli interessati;
RITENUTA l'opportunità di procedere alla definizione, in tale contesto, di un quadro unitario di misure ed accorgimenti necessari e
opportuni in grado di fornire ulteriori orientamenti utili per i datori di lavoro e i lavoratori in ordine alle operazioni di trattamento di dati
personali connesse alla gestione del rapporto di lavoro, individuando, a tal fine, i comportamenti più appropriati da adottare;
RILEVATA l'esigenza che tale quadro sia riassunto in alcune linee guida, suscettibili di periodico aggiornamento, di cui verrà curata la più
ampia pubblicità, anche attraverso il sito Internet dell'Autorità (http://www.garanteprivacy.it);
RITENUTA la necessità che le misure e gli accorgimenti relativi al trattamento di dati biometrici di cui al punto 4 delle Linee guida di cui
al successivo dispositivo siano altresì oggetto di una prescrizione del Garante ai sensi degli artt. 17, 154, comma 1, lett. c) e 167, comma 2
del Codice, considerati i maggiori rischi specifici che tale trattamento pone per i diritti e le libertà fondamentali, nonché per la dignità
dell'interessato;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
DELIBERA
di adottare le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle
dipendenze di datori di lavoro privati", di cui al documento che è allegato quale parte integrante della presente deliberazione (Allegato 1);
di prescrivere ai titolari del trattamento interessati l'adozione delle misure e degli accorgimenti per il trattamento di dati biometrici di cui al
punto 4 delle medesime Linee guida, ai sensi degli artt. 17, 154, comma 1, lett. c) e 167, comma 2, del Codice;
che copia del presente provvedimento, unitamente alle menzionate "Linee guida", sia trasmessa al Ministero della giustizia-Ufficio
pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del
Codice.
Roma, 23 novembre 2006
SOMMARIO
p
.
1. Premessa
2
1.1. Scopo delle linee guida
2
1.2. Ambiti considerati
2
2. Il rispetto dei principi di protezione dei dati personali
3
2.1. Liceità, pertinenza, trasparenza
3
2.2. Finalità
4
3. Titolare e responsabile del trattamento
4
3.1. Titolare e responsabile
4
3.2. Gruppi di imprese
5
3.3. Medico competente
5
4. Dati biometrici e accesso ad "aree riservate"
7
4.1. Nozione
7
4.2. Sistemi di rilevazione biometrica
7
4.3. Misure di sicurezza e tempi di conservazione
8
4.4. Verifica preliminare
8
5. Comunicazione e diffusione di dati personali
9
5.1. Comunicazione
9
5.2. Intranet aziendale
9
5.3. Diffusione
1
0
5.4. Cartellini identificativi
1
0
5.5. Modalità di comunicazione
1
1
6. Dati idonei a rivelare lo stato di salute di lavoratori
1
1
6.1. Dati sanitari
1
1
6.2. Assenze per ragioni di salute
1
2
6.3. Denuncia all'Inail
1
3
6.4. Altre informazioni relative alla salute
1
3
6.5. Comunicazioni all'Inps
1
3
7. Informativa
1
4
8. Misure di sicurezza
1
4
8.1. Dati sanitari
1
5
8.2. Incaricati
1
5
8.3. Misure fisiche ed organizzative
1
5
9. Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro
1
6
9.1. Diritto di accesso
1
6
9.2. Riscontro del datore di lavoro
1
7
9.3. Tempestività del riscontro
1
7
9.4. Modalità del riscontro
1
7
9.5. Dati personali e documentazione
1
8
9.6. Aggiornamento
1
9
1. Premessa
1.1. Scopo delle linee guida. Per fornire indicazioni e raccomandazioni con riguardo alle operazioni di trattamento effettuate con dati
personali (anche sensibili) di lavoratori operanti alle dipendenze di datori di lavoro privati il Garante ravvisa l'esigenza di adottare le
presenti linee guida, suscettibili di periodico aggiornamento, nelle quali si tiene conto, altresì, di precedenti decisioni dell'Autorità.
Le indicazioni fornite non pregiudicano l'applicazione delle disposizioni di legge o di regolamento che stabiliscono divieti o limiti più
restrittivi in relazione a taluni settori o a specifici casi di trattamento di dati (artt. 113, 114 e 184, comma 3, del Codice) 1.
1.2. Ambiti considerati. Le tematiche prese in considerazione si riferiscono prevalentemente alla comunicazione e alla diffusione dei
dati, all'informativa che il datore di lavoro deve rendere ai lavoratori (art. 13 del Codice), ai dati idonei a rivelare lo stato di salute e il
diritto d'accesso.
Le operazioni di trattamento riguardano per lo più:
dati anagrafici di lavoratori (assunti o cessati dal servizio), dati biometrici, fotografie e dati sensibili riferiti anche a terzi, idonei in
particolare a rivelare il credo religioso o l'adesione a sindacati; dati idonei a rivelare lo stato di salute, di regola contenuti in certificati
medici o in altra documentazione prodotta per giustificare le assenze dal lavoro o per fruire di particolari permessi e benefici previsti anche
nei contratti collettivi;
informazioni più strettamente connesse allo svolgimento dell'attività lavorativa, quali la tipologia del contratto (a tempo determinato o
indeterminato, a tempo pieno o parziale, etc.); la qualifica e il livello professionale, la retribuzione individuale corrisposta anche in virtù di
provvedimenti "ad personam"; l'ammontare di premi; il tempo di lavoro anche straordinario; ferie e permessi individuali (fruiti o residui);
l'assenza dal servizio nei casi previsti dalla legge o dai contratti anche collettivi di lavoro; trasferimenti ad altra sede di lavoro;
procedimenti e provvedimenti disciplinari.
I medesimi dati sono:
contenuti in atti e documenti prodotti dai lavoratori in sede di assunzione (rispetto ai quali, con riferimento alle informazioni raccolte
mediante annunci contenenti offerte di lavoro, questa Autorità si è già pronunciata 2 o nel corso del rapporto di lavoro;
contenuti in documenti e/o file elaborati dal (o per conto del) datore di lavoro in pendenza del rapporto di lavoro per finalità di esecuzione
del contratto e successivamente raccolti e conservati in fascicoli personali, archivi cartacei o elettronici aziendali 3;
resi disponibili in albi e bacheche o, ancora, nelle intranet aziendali.
2. Il rispetto dei principi di protezione dei dati personali
2.1. Liceità, pertinenza, trasparenza. Le predette informazioni di carattere personale possono essere trattate dal datore di lavoro nella
misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni
contenute in leggi, regolamenti, contratti e accordi collettivi.
In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina
in materia di protezione dei dati personali che trae origine anche da direttive comunitarie.
In particolare, il Codice in materia di protezione dei dati personali (Codice), in attuazione delle direttive 95/46/Ce e 2002/58/Ce, prescrive
che il trattamento di dati personali avvenga:
nel rispetto di principi di necessità e liceità e che riguardano la qualità dei dati (artt. 3 e 11);
informando preventivamente e adeguatamente gli interessati (art. 13);
chiedendo preventivamente il consenso solo quando, anche a seconda della natura dei dati, non sia corretto avvalersi di uno degli altri
presupposti equipollenti al consenso (artt. 23, 24, 26 e 43 del Codice);
rispettando, se si trattano dati sensibili o giudiziari, le prescrizioni impartite dal Garante nelle autorizzazioni anche di carattere generale
rilasciate (artt. 26 e 27 del Codice; cfr., in particolare, l'autorizzazione generale n. 1/2005);
adottando le misure di sicurezza idonee a preservare i dati da alcuni eventi tra i quali accessi ed utilizzazioni indebite, rispetto ai quali può
essere chiamato a rispondere anche civilmente e penalmente (artt. 15, 31 e ss., 167 e 169 del Codice).
2.2. Finalità. Il trattamento di dati personali riferibili a singoli lavoratori, anche sensibili, è lecito, se finalizzato ad assolvere obblighi
derivanti dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della
retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per appurare la sussistenza
di una causa legittima di assenza).
Alcuni scopi sono altresì previsti dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro
individuale (ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto o rispetto alle percentuali di lavoratori da
assumere con particolari tipologie di contratto) o, ancora, dalla legge (quali, ad esempio, le comunicazioni ad enti previdenziali e
assistenziali).
Se queste finalità sono in termini generali lecite, occorre però rispettare il principio della compatibilità tra gli scopi perseguiti (art. 11,
comma 1, lett. b), del Codice): lo scopo perseguito in concreto dal datore di lavoro sulla base del trattamento di dati personali non deve
essere infatti incompatibile con le finalità per le quali i medesimi sono stati raccolti.
3. Titolare e responsabile del trattamento
3.1. Titolare e responsabile. Ai fini della protezione dei dati personali assume un ruolo rilevante identificare le figure soggettive che a
diverso titolo possono trattare i dati, definendo chiaramente le rispettive attribuzioni, in particolare, quelle del titolare e del responsabile
del trattamento (artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice).
In linea di principio, per individuare il titolare del trattamento rileva l'effettivo centro di imputazione del rapporto di lavoro, al di là dello
schema societario formalmente adottato 4.
Peraltro, specie nelle realtà imprenditoriali più articolate, questa identificazione può risultare non sempre agevole e tale circostanza
costituisce in qualche caso un ostacolo anche per l'esercizio dei diritti di cui all'art. 7 5.
3.2. Gruppi di imprese. Le società che appartengono a gruppi di imprese individuati in conformità alla legge (art. 2359 cod. civ.; d.lg. 2
aprile 2002, n. 74) hanno di regola una distinta ed autonoma titolarità del trattamento in relazione ai dati personali dei propri dipendenti e
collaboratori (artt. 4, comma 1, lett. f) e 28 del Codice).
Tuttavia, nell'ambito dei gruppi, le società controllate e collegate possono delegare la società capogruppo a svolgere adempimenti in
materia di lavoro, previdenza ed assistenza sociale per i lavoratori indicati dalla legge 6: tale attività implica la designazione della società
capogruppo quale responsabile del trattamento ai sensi dell'art. 29 del Codice 7.
Analoga soluzione (art. 31, comma 2, d.lg. n. 276/2003) deve essere adottata per i trattamenti di dati personali, aventi identica natura,
effettuati nell'ambito dei consorzi di società cooperative (nei quali a tal fine può essere altresì designata una delle società consorziate).
3.3. Medico competente. Considerazioni ulteriori devono essere svolte in relazione a taluni specifici trattamenti che possono o devono
essere effettuati all'interno dell'impresa in conformità alla disciplina in materia di sicurezza e igiene del lavoro 8.
Tale disciplina, che attua anche alcune direttive comunitarie e si colloca nell'ambito del più generale quadro di misure necessarie a tutelare
l'integrità psico-fisica dei lavoratori (art. 2087 cod. civ.), pone direttamente in capo al medico competente in materia di igiene e sicurezza
dei luoghi di lavoro la sorveglianza sanitaria obbligatoria (e, ai sensi degli artt. 16 e 17 del d.lg. n. 626/1994, il correlativo trattamento dei
dati contenuti in cartelle cliniche).
In quest'ambito, il medico competente effettua accertamenti preventivi e periodici sui lavoratori (art. 33 d.P.R. n. 303/1956; art. 16 d.lg. n.
626/1994) e istituisce (curandone l'aggiornamento) una cartella sanitaria e di rischio (in conformità alle prescrizioni contenute negli artt.
17, 59-quinquiesdecies, comma 2, lett. b), 59-sexiesdecies e 70 d.lg. n. 626/1994).
Detta cartella è custodita presso l'azienda o l'unità produttiva, "con salvaguardia del segreto professionale, e [consegnata in] copia al
lavoratore stesso al momento della risoluzione del rapporto di lavoro, ovvero quando lo stesso ne fa richiesta" (art. 4, comma 8, d.lg. n.
626/1994); in caso di cessazione del rapporto di lavoro le cartelle sono trasmesse all'Istituto superiore prevenzione e sicurezza sul lavoroIspesl (art. 72-undecies, comma 3, d.lg. n. 626/1994), in originale e in busta chiusa 9.
In relazione a tali disposizioni, il medico competente è deputato a trattare i dati sanitari dei lavoratori, procedendo alle dovute annotazioni
nelle cartelle sanitarie e di rischio, e curando le opportune misure di sicurezza per salvaguardare la segretezza delle informazioni trattate in
rapporto alle finalità e modalità del trattamento stabilite. Ciò, quale che sia il titolare del trattamento effettuato dal medico 10.
Alle predette cartelle il datore di lavoro non può accedere, dovendo soltanto concorrere ad assicurarne un'efficace custodia nei locali
aziendali (anche in vista di possibili accertamenti ispettivi da parte dei soggetti istituzionalmente competenti), ma, come detto, "con
salvaguardia del segreto professionale" 11.
Il datore di lavoro, sebbene sia tenuto, su parere del medico competente (o qualora il medico lo informi di anomalie imputabili
all'esposizione a rischio), ad adottare le misure preventive e protettive per i lavoratori interessati, non può conoscere le eventuali patologie
accertate, ma solo la valutazione finale circa l'idoneità del dipendente (dal punto di vista sanitario) allo svolgimento di date mansioni.
In tal senso, peraltro, depongono anche le previsioni legislative che dispongono la comunicazione all'Ispesl della cartella sanitaria e di
rischio in caso di cessione (art. 59-sexiesdecies, comma 4, d.lg. n. 626/1994) o cessazione del rapporto di lavoro (art. 72-undecies d.lg. n.
626/1994), precludendosi anche in tali occasioni ogni loro conoscibilità da parte del datore di lavoro.
4. Dati biometrici e accesso ad "aree riservate"
4.1. Nozione. In più circostanze, anche ricorrendo al procedimento previsto dall'art. 17 del Codice, è stato prospettato al Garante l'utilizzo
di dati biometrici sul luogo di lavoro 12, con particolare riferimento all'impiego di tali informazioni per accedere ad aree specifiche
dell'impresa.
Si tratta di dati ricavati dalle caratteristiche fisiche o comportamentali della persona a seguito di un apposito procedimento (in parte
automatizzato) e poi risultanti in un modello di riferimento. Quest'ultimo consiste in un insieme di valori numerici ricavati, attraverso
funzioni matematiche, dalle caratteristiche individuali sopra indicate, preordinati all'identificazione personale attraverso opportune
operazioni di confronto tra il codice numerico ricavato ad ogni accesso e quello originariamente raccolto.
L'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte digitali, non è lecito. Tali dati, per la loro peculiare
natura, richiedono l'adozione di elevate cautele per prevenire possibili pregiudizi a danno degli interessati, con particolare riguardo a
condotte illecite che determinino l'abusiva "ricostruzione" dell'impronta, partendo dal modello di riferimento, e la sua ulteriore
"utilizzazione" a loro insaputa.
L'utilizzo di dati biometrici può essere giustificato solo in casi particolari, tenuto conto delle finalità e del contesto in cui essi sono trattati
e, in relazione ai luoghi di lavoro, per presidiare accessi ad "aree sensibili", considerata la natura delle attività ivi svolte: si pensi, ad
esempio, a processi produttivi pericolosi 13 o sottoposti a segreti di varia natura 14 o al fatto che particolari locali siano destinati alla
custodia di beni, documenti segreti o riservati o oggetti di valore 15.
4.2. Sistemi di rilevazione biometrica . Inoltre, nei casi in cui l'uso dei dati biometrici è consentito, la centralizzazione in una banca dati
delle informazioni personali (nella forma del predetto modello) trattate nell'ambito del descritto procedimento di riconoscimento
biometrico risulta di regola sproporzionata e non necessaria. I sistemi informativi devono essere infatti configurati in modo da ridurre al
minimo l'utilizzazione di dati personali e da escluderne il trattamento, quando le finalità perseguite possono essere realizzate con modalità
tali da permettere di identificare l'interessato solo in caso di necessità (artt. 3 e 11 del Codice).
In luogo, quindi, di modalità centralizzate di trattamento dei dati biometrici, deve ritenersi adeguato e sufficiente avvalersi di sistemi
efficaci di verifica e di identificazione biometrica basati sulla lettura delle impronte digitali memorizzate, tramite il predetto modello
cifrato, su un supporto posto nell'esclusiva disponibilità dell'interessato (una smart card o un dispositivo analogo) e privo di indicazioni
nominative riferibili a quest'ultimo (essendo sufficiente attribuire a ciascun dipendente un codice individuale).
Tale modalità di riconoscimento, infatti, è idonea ad assicurare che possano accedere all'area riservata solo coloro che, autorizzati
preventivamente, decidano su base volontaria di avvalersi della predetta carta o del dispositivo analogo. Il confronto delle impronte digitali
con il modello memorizzato sulla carta o sul dispositivo può essere realizzato ricorrendo a comuni procedure di confronto sulla carta o
dispositivo stesso, evitando così la costituzione di un archivio di delicati dati biometrici. Del resto, in caso di smarrimento della carta o
dispositivo, sono allo stato circoscritte le possibilità di abuso rispetto ai dati biometrici ivi memorizzati.
4.3. Misure di sicurezza e tempi di conservazione. I dati personali necessari per realizzare il modello possono essere trattati
esclusivamente durante la fase di registrazione; per il loro utilizzo, il titolare del trattamento deve raccogliere il preventivo consenso
informato degli interessati.
In aggiunta alle misure di sicurezza minime prescritte dal Codice, devono essere adottati ulteriori accorgimenti a protezione dei dati,
impartendo agli incaricati apposite istruzioni scritte alle quali attenersi, con particolare riguardo al caso di perdita o sottrazione delle carte
o dispositivi loro affidati.
I dati memorizzati devono essere accessibili al personale preposto al rispetto delle misure di sicurezza all'interno dell'impresa, per
l'esclusiva finalità della verifica della loro osservanza (rispettando peraltro la disciplina sul controllo a distanza dei lavoratori: art. 4,
comma 2, l. 20 maggio 1970, n. 300, richiamato dall'art. 114 del Codice).
I dati raccolti non possono essere di regola conservati per un arco di tempo superiore a sette giorni e vanno assicurati, anche quando tale
arco temporale possa essere lecitamente protratto, idonei meccanismi di cancellazione automatica dei dati.
4.4. Verifica preliminare. Resta salva, per fattispecie particolari o in ragione di situazioni eccezionali non considerate in questa sede, la
presentazione da parte di titolari del trattamento che intendano discostarsi dalle presenti prescrizioni, di apposito interpello al Garante, ai
sensi dell'art. 17 del Codice.
5. Comunicazione e diffusione di dati personali
5.1. Comunicazione. La conoscenza dei dati personali relativi ad un lavoratore da parte di terzi è ammessa se l'interessato vi acconsente.
Se il datore di lavoro non può avvalersi correttamente di uno degli altri presupposti del trattamento equipollenti al consenso (art. 24 del
Codice), non può prescindersi dal consenso stesso per comunicare dati personali (ad esempio, inerenti alla circostanza di un'avvenuta
assunzione, allo status o alla qualifica ricoperta, all'irrogazione di sanzioni disciplinari o a trasferimenti del lavoratore) a terzi quali:
associazioni (anche di categoria) di datori di lavoro, o di ex dipendenti (anche della medesima istituzione);
conoscenti, familiari e parenti.
Fermo restando il rispetto dei principi generali sopra richiamati in materia di trattamento di dati personali (cfr. punto 2), rimane
impregiudicata la facoltà del datore di lavoro di disciplinare le modalità del proprio trattamento designando i soggetti, interni o esterni,
incaricati o responsabili del trattamento, che possono acquisire conoscenza dei dati inerenti alla gestione del rapporto di lavoro, in
relazione alle funzioni svolte e a idonee istruzioni scritte alle quali attenersi (artt. 4, comma 1, lett. g) e h), 29 e 30). Ciò, ove necessario,
anche mediante consegna di copia di documenti all'uopo predisposti.
È altresì impregiudicata la facoltà del datore di lavoro di comunicare a terzi in forma realmente anonima dati ricavati dalle informazioni
relative a singoli o gruppi di lavoratori: si pensi al numero complessivo di ore di lavoro straordinario prestate o di ore non lavorate a livello
aziendale o all'interno di singole unità produttive, agli importi di premi aziendali di risultato individuati per fasce, o qualifiche/livelli
professionali, anche nell'ambito di singole funzioni o unità organizzative).
5.2. Intranet aziendale. Allo stesso modo, il consenso del lavoratore è necessario per pubblicare informazioni personali allo stesso riferite
(quali fotografia, informazioni anagrafiche o curricula) nella intranet aziendale (e a maggior ragione in Internet), non risultando tale ampia
circolazione di dati personali di regola "necessaria per eseguire obblighi derivanti dal contratto di lavoro " (art. 24, comma 1, lett. b), del
Codice). Tali obblighi possono trovare esecuzione indipendentemente da tale particolare forma di divulgazione che comunque, potendo a
volte risultare pertinente (specie in realtà produttive di grandi dimensioni o ramificate sul territorio), richiede il preventivo consenso del
singolo dipendente, salva specifica disposizione di legge.
5.3. Diffusione. In assenza di specifiche disposizioni normative che impongano al datore di lavoro la diffusione di dati personali riferiti ai
lavoratori (art. 24, comma 1, lett. a) o la autorizzino, o comunque di altro presupposto ai sensi dell'art. 24 del Codice, la diffusione stessa
può avvenire solo se necessaria per dare esecuzione a obblighi derivanti dal contratto di lavoro (art. 24, comma 1, lett. b) del Codice). È il
caso, ad esempio, dell'affissione nella bacheca aziendale di ordini di servizio, di turni lavorativi o feriali, oltre che di disposizioni
riguardanti l'organizzazione del lavoro e l'individuazione delle mansioni cui sono deputati i singoli dipendenti 16.
Salvo che ricorra una di queste ipotesi, non è invece di regola lecito dare diffusione a informazioni personali riferite a singoli lavoratori,
anche attraverso la loro pubblicazione in bacheche aziendali o in comunicazioni interne destinate alla collettività dei lavoratori, specie se
non correlate all'esecuzione di obblighi lavorativi. In tali casi la diffusione si pone anche in violazione dei principi di finalità e pertinenza
(art. 11 del Codice), come nelle ipotesi di:
affissione relativa ad emolumenti percepiti o che fanno riferimento a particolari condizioni personali 17;
sanzioni disciplinari irrogate o informazioni relative a controversie giudiziarie;
assenze dal lavoro per malattia;
iscrizione e/o adesione dei singoli lavoratori ad associazioni.
5.4. Cartellini identificativi. Analogamente, si possono determinare altre forme di diffusione di dati personali quando dette informazioni
debbano essere riportate ed esibite su cartellini identificativi appuntati ad esempio sull'abito o sulla divisa del lavoratore (di solito, con lo
scopo di migliorare il rapporto fra operatori ed utenti o clienti).
Al riguardo, questa Autorità ha già rilevato 18, in relazione allo svolgimento del rapporto di lavoro alle dipendenze di soggetti privati, che
l'obbligo di portare in modo visibile un cartellino identificativo può trovare fondamento in alcune prescrizioni contenute in accordi
sindacali aziendali, il cui rispetto può essere ricondotto alle prescrizioni del contratto di lavoro. Tuttavia, in relazione al rapporto con il
pubblico, si è ravvisata la sproporzione dell'indicazione sul cartellino di dati personali identificativi (generalità o dati anagrafici), ben
potendo spesso risultare sufficienti altre informazioni (quali codici identificativi, il solo nome o il ruolo professionale svolto), per sé sole in
grado di essere d'ausilio all'utenza.
5.5. Modalità di comunicazione. Salvi i casi in cui forme e modalità di divulgazione di dati personali discendano da specifiche previsioni
(cfr. art. 174, comma 12, del Codice) 19, il datore di lavoro deve utilizzare forme di comunicazione individualizzata con il lavoratore,
adottando le misure più opportune per prevenire un'indebita comunicazione di dati personali, in particolare se sensibili, a soggetti diversi
dal destinatario, ancorché incaricati di talune operazioni di trattamento (ad esempio, inoltrando le comunicazioni in plico chiuso o spillato;
invitando l'interessato a ritirare personalmente la documentazione presso l'ufficio competente; ricorrendo a comunicazioni telematiche
individuali).
Analoghe cautele, tenendo conto delle circostanze di fatto, devono essere adottate in relazione ad altre forme di comunicazione indirizzate
al lavoratore dalle quali possano desumersi vicende personali 20.
6. Dati idonei a rivelare lo stato di salute di lavoratori
6.1. Dati sanitari. Devono essere osservate cautele particolari anche nel trattamento dei dati sensibili del lavoratore (art. 4, comma 1, lett.
d), del Codice) e, segnatamente, di quelli dati idonei a rivelarne lo stato di salute. Tra questi ultimi, può rientrare l'informazione relativa
all'assenza dal servizio per malattia, indipendentemente dalla circostanza della contestuale enunciazione della diagnosi 21.
Per tali informazioni, l'ordinamento appresta anche fuori della disciplina di protezione dei dati personali particolari accorgimenti per
contenere, nei limiti dell'indispensabile, i dati dei quali il datore di lavoro può venire a conoscenza per dare esecuzione al contratto (cfr. già
l'art. 8 della legge n. 300/1970).
In questo contesto, la disciplina generale contenuta nel Codice deve essere coordinata ed integrata, come si è visto (cfr. punto 3.3.), con
altre regole settoriali 22 o speciali 23.
Resta comunque vietata la diffusione di dati sanitari (art. 26, comma 5, del Codice).
6.2. Assenze per ragioni di salute. Con specifico riguardo al trattamento di dati idonei a rivelare lo stato di salute dei lavoratori, la
normativa di settore e le disposizioni contenute nei contratti collettivi giustificano il trattamento dei dati relativi ai casi di infermità (e
talora a quelli inerenti all'esecuzione di visite specialistiche o di accertamenti clinici) che determini un'incapacità lavorativa (temporanea o
definitiva, con la conseguente sospensione o risoluzione del contratto). Non diversamente, il datore di lavoro può trattare dati relativi a
invalidità o all'appartenenza a categorie protette, nei modi e per le finalità prescritte dalla vigente normativa in materia.
A tale riguardo, infatti, sussiste un quadro normativo articolato che prevede anche obblighi di comunicazione in capo al lavoratore e di
successiva certificazione nei confronti del datore di lavoro e dell'ente previdenziale della condizione di malattia: obblighi funzionali non
solo a giustificare i trattamenti normativi ed economici spettanti al lavoratore, ma anche a consentire al datore di lavoro, nelle forme di
legge 24, di verificare le reali condizioni di salute del lavoratore.
Per attuare tali obblighi viene utilizzata un'apposita modulistica, consistente in un attestato di malattia da consegnare al datore di lavoro –
con la sola indicazione dell'inizio e della durata presunta dell'infermità: c.d. "prognosi"– e in un certificato di diagnosi da consegnare, a
cura del lavoratore stesso, all'Istituto nazionale della previdenza sociale (Inps) o alla struttura pubblica indicata dallo stesso Istituto d'intesa
con la regione, se il lavoratore ha diritto a ricevere l'indennità di malattia a carico dell'ente previdenziale 25.
Tuttavia, qualora dovessero essere presentati dai lavoratori certificati medici redatti su modulistica diversa da quella sopra descritta, nella
quale i dati di prognosi e di diagnosi non siano separati, i datori di lavoro restano obbligati, ove possibile, ad adottare idonee misure e
accorgimenti volti a prevenirne la ricezione o, in ogni caso, ad oscurali
26.
6.3. Denuncia all'Inail. Diversamente, per dare esecuzione ad obblighi di comunicazione relativi a dati sanitari, in taluni casi il datore di
lavoro può anche venire a conoscenza delle condizioni di salute del lavoratore.
Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'Istituto assicuratore (Inail) avente ad oggetto infortuni e malattie
professionali occorsi ai lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da specifica certificazione medica
(artt. 13 e 53 d.P.R. n. 1124/1965).
In tali casi, pur essendo legittima la conoscenza della diagnosi da parte del datore di lavoro, resta fermo a suo carico l'obbligo di limitarsi a
comunicare all'ente assistenziale esclusivamente le informazioni sanitarie relative o collegate alla patologia denunciata e non anche dati
sulla salute relativi ad altre assenze che si siano verificate nel corso del rapporto di lavoro, la cui eventuale comunicazione sarebbe
eccedente e non pertinente –con la conseguente loro inutilizzabilità–, trattandosi di dati non rilevanti nel caso oggetto di denuncia (art. 11,
commi 1 e 2 del Codice) 27.
6.4. Altre informazioni relative alla salute. A tali fattispecie devono essere aggiunti altri casi nei quali può, parimenti, effettuarsi un
trattamento di dati relativi alla salute del lavoratore (e finanche di suoi congiunti), anche al fine di permettergli di godere dei benefici di
legge (quali, ad esempio, permessi o periodi prolungati di aspettativa con conservazione del posto di lavoro): si pensi, ad esempio, a
informazioni relative a condizioni di handicap 28.
Allo stesso modo, il datore di lavoro può venire a conoscenza dello stato di tossicodipendenza del dipendente, ove questi richieda di
accedere a programmi riabilitativi o terapeutici con conservazione del posto di lavoro (senza retribuzione), atteso l'onere di presentare (nei
termini prescritti dai contratti collettivi) specifica documentazione medica al datore di lavoro (ai sensi dell'art. 124, commi 1 e 2, d.P.R. n.
309/1990).
6.5. Comunicazioni all'Inps. È altresì legittima la comunicazione di dati idonei a rivelare lo stato di salute dei lavoratori che il datore di
lavoro faccia ai soggetti pubblici (enti previdenziali e assistenziali) tenuti a erogare le prescritte indennità in adempimento a specifici
obblighi derivanti dalla legge, da altre norme o regolamenti o da previsioni contrattuali, nei limiti delle sole informazioni indispensabili.
In particolare, il datore di lavoro può comunicare all'Istituto nazionale della previdenza sociale (Inps) i dati del dipendente assente, anche
per un solo giorno, al fine di farne controllare lo stato di malattia (art. 5, commi 1 e 2, l. 20 maggio 1970, n. 300) 29; a tal fine deve tenere
a disposizione e produrre, a richiesta, all'Inps, la documentazione in suo possesso. Le eventuali visite di controllo sullo stato di infermità
del lavoratore, ai sensi dell'art. 5 della legge 20 maggio 1970, n. 300, o su richiesta dell'Inps o della struttura sanitaria pubblica da esso
indicata, sono effettuate dai medici dei servizi sanitari indicati dalle regioni (art. 2, l. n. 33/1980 cit.).
7. Informativa
Il datore di lavoro è tenuto a rendere al lavoratore, prima di procedere al trattamento dei dati personali che lo riguardano (anche in
relazione alle ipotesi nelle quali la legge non richieda il suo consenso), un'informativa individualizzata completa degli elementi indicati
dall'art. 13 del Codice 30.
Con particolare riferimento a realtà produttive nelle quali, per ragioni organizzative (ad esempio, per l'articolata dislocazione sul territorio
o per il ricorso consistente a forme di out-sourcing) o dimensionali, può risultare difficoltoso per il singolo lavoratore esercitare i propri
diritti ai sensi dell'art. 7 del Codice, è opportuna la designazione di un responsabile del trattamento appositamente deputato alla trattazione
di tali profili (o di responsabili esterni alla società, che effettuino, ad esempio, l'attività di gestione degli archivi amministrativi dei
dipendenti), indicandolo chiaramente nell'informativa fornita.
8. Misure di sicurezza
8.1. Dati sanitari. Il datore di lavoro titolare del trattamento è tenuto ad adottare ogni misura di sicurezza, anche minima, prescritta dal
Codice a protezione dei dati personali dei dipendenti comunque trattati nell'ambito del rapporto di lavoro, ponendo particolare attenzione
all'eventuale natura sensibile dei medesimi (art. 31 ss. e Allegato B) al Codice).
Dette informazioni devono essere conservate separatamente da ogni altro dato personale dell'interessato; ciò, deve trovare attuazione anche
con riferimento ai fascicoli personali cartacei dei dipendenti (ad esempio, utilizzando sezioni appositamente dedicate alla custodia dei dati
sensibili, inclusi quelli idonei a rivelare lo stato di salute del lavoratore, da conservare separatamente o in modo da non consentirne una
indistinta consultazione nel corso delle ordinarie attività amministrative 31).
Del pari, nei casi in cui i lavoratori producano spontaneamente certificati medici su modulistica diversa da quella descritta al punto 6.2., il
datore di lavoro non può, comunque, utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice) e deve adottare gli opportuni
accorgimenti per non rendere visibili le diagnosi contenute nei certificati (ad esempio, prescrivendone la circolazione in busta chiusa
previo oscuramento di tali informazioni); ciò, al fine di impedire ogni accesso abusivo a tali dati da parte di soggetti non previamente
designati come incaricati o responsabili (art. 31 e ss. del Codice).
8.2. Incaricati. Resta fermo l'obbligo del datore di lavoro di preporre alla custodia dei dati personali dei lavoratori apposito personale,
specificamente incaricato del trattamento, che "deve avere cognizioni in materia di protezione dei dati personali e ricevere una formazione
adeguata. In assenza di un'adeguata formazione degli addetti al trattamento dei dati personali il rispetto della riservatezza dei lavoratori
sul luogo di lavoro non potrà mai essere garantito" 32.
8.3. Misure fisiche ed organizzative. Il datore di lavoro deve adottare, tra l'altro (cfr. artt. 31 ss. del Codice), misure organizzative e
fisiche idonee a garantire che:
i luoghi ove si svolge il trattamento di dati personali dei lavoratori siano opportunamente protetti da indebite intrusioni;
le comunicazioni personali riferibili esclusivamente a singoli lavoratori avvengano con modalità tali da escluderne l'indebita presa di
conoscenza da parte di terzi o di soggetti non designati quali incaricati;
siano impartite chiare istruzioni agli incaricati in ordine alla scrupolosa osservanza del segreto d'ufficio, anche con riguardo a dipendenti
del medesimo datore di lavoro che non abbiano titolo per venire a conoscenza di particolari informazioni personali;
sia prevenuta l'acquisizione e riproduzione di dati personali trattati elettronicamente, in assenza di adeguati sistemi di autenticazione o
autorizzazione e/o di documenti contenenti informazioni personali da parte di soggetti non autorizzati 33;
sia prevenuta l'involontaria acquisizione di informazioni personali da parte di terzi o di altri dipendenti: opportuni accorgimenti, ad
esempio, devono essere presi in presenza di una particolare conformazione o dislocazione degli uffici, in assenza di misure idonee volte a
prevenire la diffusione delle informazioni (si pensi al mancato rispetto di distanze di sicurezza o alla trattazione di informazioni riservate in
spazi aperti, anziché all'interno di locali chiusi).
9. Esercizio dei diritti previsti dall'art. 7 del Codice e riscontro del datore di lavoro
9.1. Diritto di accesso. I lavoratori interessati possono esercitare nei confronti del datore di lavoro i diritti previsti dall'art. 7 del Codice
(nei modi di cui agli artt. 8 e ss.), tra cui il diritto di accedere ai dati che li riguardano (anziché, in quanto tale, all'intera documentazione
che li contiene 34), di ottenerne l'aggiornamento, la rettificazione, l'integrazione, la cancellazione, la trasformazione in forma anonima o il
blocco se trattati in violazione di legge, di opporsi al trattamento per motivi legittimi.
La richiesta di accesso che non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a
tutti i dati personali che riguardano il lavoratore comunque trattati dall'amministrazione (art. 10) e può riguardare anche informazioni di
tipo valutativo 35, alle condizioni e nei limiti di cui all'art. 8, comma 5.
Tra essi non rientrano notizie di carattere contrattuale o professionale che non hanno natura di dati personali in qualche modo riferibili a
persone identificate o identificabili 36.
9.2. Riscontro del datore di lavoro. Il datore di lavoro destinatario della richiesta è tenuto a fornire un riscontro completo alla richiesta
del lavoratore interessato, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e
intelligibile tutte le informazioni in suo possesso 37.
9.3. Tempestività del riscontro. Il riscontro deve essere fornito nel termine di 15 giorni dal ricevimento dell'istanza dell'interessato
(ritualmente presentata 38 ); il termine più lungo, pari a 30 giorni, può essere osservato, dandone comunicazione all'interessato, solo se le
operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo (art. 146 del Codice).
Pertanto il datore di lavoro, specie nelle realtà produttive di grande dimensione 39, deve pertanto predisporre procedure organizzative
adeguate per dare piena attuazione alle disposizioni del Codice in materia di accesso ai dati e all'esercizio degli altri diritti, anche attraverso
l'impiego di appositi programmi finalizzati ad una accurata selezione dei dati relativi a singoli lavoratori, nonché alla semplificazione delle
modalità e alla compressione dei tempi per il riscontro.
9.4. Modalità del riscontro. Il riscontro può essere fornito anche oralmente; tuttavia, in presenza di una specifica istanza, il datore di
lavoro è tenuto a trasporre i dati su supporto cartaceo o informatico o a trasmetterli all'interessato per via telematica (art. 10).
Muovendo dalla previsione dell'art. 10, comma 1, del Codice, secondo cui il titolare deve predisporre accorgimenti idonei "a semplificare
le modalità e a ridurre i tempi per il riscontro al richiedente", può risultare legittima la richiesta dell'interessato di ricevere la
comunicazione dei dati in questione presso la propria sede lavorativa o la propria abitazione 40.
9.5. Dati personali e documentazione. Come più volte dichiarato dal Garante 41, l'esercizio del diritto di accesso consente di ottenere, ai
sensi dell'art. 10 del Codice, solo la comunicazione dei dati personali relativi al richiedente detenuti dal titolare del trattamento e da estrarre
da atti e documenti; non permette invece di richiedere a quest'ultimo il diretto e illimitato accesso a documenti e ad intere tipologie di atti,
o la creazione di documenti allo stato inesistenti negli archivi, o la loro innovativa aggregazione secondo specifiche modalità prospettate
dall'interessato o, ancora, di ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di
riscontro (salvo quanto previsto per la trasposizione dei dati su supporto cartaceo: cfr. art. 10, comma 2, del Codice).
Specie nei casi in cui è elevata la mole di informazioni personali detenute dal titolare del trattamento, il diritto di accesso ai dati può essere
soddisfatto mettendo a disposizione dell'interessato il fascicolo personale 42, dal quale successivamente possono essere estratte le
informazioni personali.
La scelta circa l'eventuale esibizione o consegna in copia di atti e documenti contenenti i dati personali richiesti può essere effettuata dal
titolare del trattamento nel solo caso in cui l'estrapolazione dei dati personali da tali documenti risulti particolarmente difficoltosa per il
titolare medesimo 43; devono essere poi omessi eventuali dati personali riferiti a terzi (art. 10, comma 4, del Codice) 44. L'adozione di tale
modalità di riscontro non comporta l'obbligo in capo al titolare di fornire copia di tutti i documenti che contengano i medesimi dati
personali dell'interessato, quando gli stessi dati siano conservati in più atti, lettere o note.
Nel fornire riscontro ad una richiesta di accesso formulata ai sensi degli artt. 7 e 8 del Codice, il titolare del trattamento deve, poi,
comunicare i dati richiesti ed effettivamente detenuti, e non è tenuto a ricercare o raccogliere altri dati che non siano nella propria
disponibilità e non siano oggetto, in alcuna forma, di attuale trattamento da parte dello stesso (o perché originariamente trattati e non più
disponibili, ovvero perché, come nel caso di dati contenuti nella corrispondenza intercorsa, in qualunque forma, tra dipendenti di un
determinato datore di lavoro, non siano mai stati nell'effettiva e libera disponibilità di quest'ultimo (si pensi al caso di dati contenuti nella
corrispondenza intercorsa tra dipendenti 45 ) –al di là dei profili di tutela della segretezza della corrispondenza che pur vengono in rilievo–,
non competerebbero le decisioni in ordine alle loro finalità e modalità di trattamento (cfr. art. 4, comma 1, lett. f), del Codice).
9.6. Aggiornamento. Infine, il lavoratore può ottenere l'aggiornamento dei dati personali a sé riferiti 46.
In ordine, poi, all'eventuale richiesta di rettifica dei dati personali indicati nel profilo professionale del lavoratore, la medesima può
avvenire solo in presenza della prova dell'effettiva e legittima attribuibilità delle qualifiche rivendicate dall'interessato, ad esempio in base a
"decisioni o documenti del datore di lavoro o di terzi, obblighi derivanti dal contratto di lavoro, provvedimenti di organi giurisdizionali
relativi all'interessato o altri titoli o atti che permettano di ritenere provata, agli effetti e sul piano dell'applicazione della [disciplina di
protezione dei dati personali], la richiesta dell'interessato" (che può comunque far valere in altra sede, sulla base di idoneo materiale
probatorio, la propria pretesa al riconoscimento della qualifica o mansione rivendicata) 47.
NOTE:
1. Le indicazioni rese tengono altresì conto, per i profili esaminati, della Raccomandazione n. R (89) 2 del Consiglio d'Europa relativa
alla protezione dei dati a carattere personale utilizzati ai fini dell'occupazione, del Parere 8/2001sul trattamento dei dati personali nel
contesto dell'occupazione, reso il 13 settembre 2001 dal Gruppo dei Garanti europei, in http://ec.europa.eu e del Code of practice,
"Protection of workers' personal data ", pubblicato dall'Organizzazione internazionale del lavoro (ILO).
2. Cfr. Provv. 10 gennaio 2002, inhttp://www.garanteprivacy.it, doc. web n. 1064553
3. Cfr. Provv. 23 aprile 2002, doc. web n. 1065065
4. Cfr., in merito, i principi affermati in giurisprudenza: Cass. 24 marzo 2003, n. 4274; v. altresì Cass. 1° aprile 1999, n. 3136
5. In merito v. di seguito il punto 9
6. Cfr. art. 1 della legge 11 gennaio 1979, n. 12; cfr. art. 31, comma 1, d.lg. 10 settembre 2003, n. 276; l. 14 febbraio 2003, n. 30
7. Come già accade per i soggetti indicati al menzionato art. 1 della legge n. 12/1979
8. In particolare, d.lg. 19 settembre 1994, n. 626 e successive modificazioni e integrazioni
9. Cfr. circolare Ispesl 3 marzo 2003, n. 2260
10. In tal senso, v. l' autorizzazione generale n. 1/2005, in rapporto al diverso titolo in base al quale il medico opera quale libero
professionista, o quale dipendente del datore di lavoro o di aziende sanitarie locali.
11. La cui violazione è peraltro penalmente sanzionata ai sensi dell'art. 92, lett. a), d.lg. n. 626/1994
12. Cfr. Provv. 21 luglio 2005, doc. web n. 1150679
13. Cfr. Provv. 15 giugno 2006, docc. web nn. 1306523, 1306530 e 1306551
14. Cfr. Provv. 23 novembre 2005, doc. web n. 1202254
15. Cfr. Provv. 15 giugno 2006, doc. web n. 1306098; v., inoltre, Provv. 26 luglio 2006, doc. web n. 1318582
16. Cfr. Cass., sez. lav., 24 novembre 1997, n. 11741; Cass., sez. lav., 11 febbraio 2000, n. 1557; Cass., sez. lav., 16 febbraio 2000, n.
1752
17. Cfr., in relazione alla diffusione di informazioni in grado di rivelare situazioni di handicap, Provv. 27 febbraio 2002, in Boll. n.
25/2002, p. 51, doc. web n. 1063639
18. Cfr. Provv. 11 dicembre 2000, doc. web n. 30991
19. Cfr. Provv. 12 maggio 2005, doc. web n. 1137798
20. Cfr., con riguardo alle dizioni riportate sui "cedolini" dello stipendio, o su documenti aventi la medesima funzione, Provv. 31
dicembre 1998, in Boll. n. 6, p. 100; v. anche Provv. 19 febbraio 2002, doc. web n. 1063659
21. Cfr. Provv. 7 luglio 2004, doc. web n. 1068839. V. pure il punto 50 della sentenza della Corte di giustizia delle Comunità europee, 6
novembre 2003, C-101/01, Lindqvist
22. Tra le quali, ad esempio, la richiamata regolamentazione contenuta nel d.lg. n. 626/1994 o nell'art. 5 della legge n. 300/1970 sugli
accertamenti sanitari facoltativi
23. Si pensi, ad esempio, ai divieti contenuti negli artt. 5 e 6 della legge 5 giugno 1990, n. 135, in materia Aids; art. 124 d.P.R. 9 ottobre
1990, n. 309
24. Cfr. Provv. 15 aprile 2004, doc. web n. 1092564
25. Cfr. art. 2, d.l. 30 dicembre 1979, n. 663, conv. in l., con mod., con l'art. 1, l. 29 febbraio 1980, n. 33 e mod. dal comma 149 dell'art.
1, l. 30 dicembre 2004, n. 311
26. Cfr. di seguito al punto 8
27. In tal senso v. il Provv. 15 aprile 2004, doc. web n. 1092564
28. Cfr. art. 33, legge 5 febbraio 1992, n. 104; si vedano anche le pertinenti disposizioni contenute nel d.lg. 26 marzo 2001, n. 151
29. V. Provv. 28 settembre 2001, cit
30. V. anche il Parere 8/2001, cit., secondo il quale "i lavoratori devono conoscere quali dati il datore di lavoro stia raccogliendo sul loro
conto (direttamente o da altre fonti), quali siano gli scopi delle operazioni di trattamento previste o effettuate per tali dati sia per il presente
che per il futuro ".
31. Cfr. Provv. 30 ottobre 2001, doc. web n. 39085
32. Parere 8/2001, cit.)
33. Cfr. Provv. 27 luglio 2004, doc. web n. 1099386
34. Cfr. Provv. 16 giugno 2005, doc. web n. 1149957
35. V. già Provv. 10 marzo 2001, doc. web n. 40285; cfr. Provv. 15 novembre 2004, doc. web n. 1102939. Raccomandazione n.
1/2001 concernente i dati relativi alla valutazione del personale del Gruppo art. 29, Wp 42.
36. In tal senso, con riguardo ad esempio alle mansioni proprie di un determinato profilo professionale cfr. Provv. 29 ottobre 2003, doc.
web n. 1053781
37. In tal senso cfr., in relazione ad informazioni personali conservate con tecniche di cifratura, Provv. 21 novembre 2001, doc. web n.
39773
38. Cfr. Provv. 17 febbraio 2005, doc. web n. 1148228, con il quale si è dichiarato inammissibile un ricorso presentato a seguito di
istanza avanzata dalle "segreterie nazionali" di alcune organizzazioni sindacali priva di sottoscrizione.
39. Cfr. ad esempio Provv. 2 luglio 2003, doc. web n. 1079989; Provv. 24 giugno 2003, doc. web n. 1132725
40. Cfr. Provv. 17 marzo 2005, doc. web n. 1170467
41. Cfr. da ultimo Provv. 7 luglio 2005, doc. web n. 1149559; Provv. 16 giugno 2005, doc. web n. 1149999
42. Provv. 16 ottobre 2002, doc. web n. 1066447
43. Cfr. Provv. 25 novembre 2002, doc. web n. 1067321
44. Cfr. Provv. 20 aprile 2005, doc. web n. 1134190; già Provv. 27 dicembre 2001, in Boll., 2001, n. 23, p. 72
45. Cfr. Provv. 21 dicembre 2005, doc. web n. 1219039
46. Cfr., in relazione all'aggiornamento del dato relativo al titolo di studio, Provv. 6 settembre 2002, doc. web n. 1066183
47. Cfr., in relazione all'aggiornamento delle informazioni relative al titolo di studio, Provv. 9 gennaio 2003, doc. web n. 1067817
LINEE GUIDA DEL GARANTE PER POSTA ELETTRONICA E INTERNET
Con provvedimento generale 1 marzo 2007 (GU n. 58 del 10 marzo 2007), l’Autorità garante per la protezione
dei dati personali è nuovamente intervenuta, dopo l’emanazione nel novembre 2006 di specifiche linee guida,
nella materia dei trattamenti di dati personali effettuati nell’ambito dei rapporti di lavoro.
Più
specificatamente, il Garante ha affrontato le problematiche relative all’utilizzo nel rapporto di lavoro della
posta elettronica e della rete Internet, nonché ai limiti delle verifiche che i datori di lavoro possono compiere per
accertare la correttezza di tale utilizzo.
Principio generale espresso da tale linee guida è la previsione per il datore di lavoro dell'onere di indicare ai
propri collaboratori, chiaramente e in modo particolareggiato, quali siano le corrette modalità di utilizzo degli
strumenti informatici messi a loro disposizione e in che misura e con quali modalità vengano eventualmente
compiuti dei controlli.
In questo senso, il Garante suggerisce l’adozione di uno specifico disciplinare, redatto in modo chiaro e senza
formule generiche, da rendere adeguatamente conosciuto all’interno dell’organizzazione aziendale (verso quindi
i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con le modalità previste dall'art. 7
dello Statuto dei lavoratori , modalità quest’ultima necessaria ai fini dell’eventuale azione disciplinare) e da
sottoporre ad aggiornamento periodico. Nel disciplinare il datore di lavoro potrà, fra gli altri, specificare:
· se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet oppure alla tenuta di
file nella rete interna;
· in quale misura è consentito utilizzare, anche per ragioni personali, servizi di posta elettronica o di rete;
· quali informazioni sono memorizzate temporaneamente, la durata della loro conservazione e chi vi può
legittimamente accedere;
· se, e in quale misura, il datore di lavoro si riserva di effettuare controlli, le relative modalità, e quali
conseguenze, anche di tipo disciplinare, potranno essere adottate nel caso si riscontrino anomalie nell’utilizzo
degli strumenti informatici;
· le soluzioni prefigurate per garantire, anche con la cooperazione del lavoratore, la continuità dell'attività
lavorativa in caso di sua assenza;
· le prescrizioni interne in materia di sicurezza dei dati, dei sistemi ed in materia di segreto professionale a cui
siano tenute specifiche figure professionali.
Rispetto agli eventuali controlli, il Garante ricorda che gli interessati hanno il diritto di essere informati
preventivamente, e in modo chiaro, sui trattamenti di dati che possono riguardarli, in ottemperanza agli obblighi
di informativa previsti dal Codice della privacy (art. 13 del D.Lgs. n. 196/2003).
Apparecchiature dirette al controllo a distanza del lavoratore
Sebbene il datore di lavoro possa riservarsi di controllare l'effettivo adempimento della prestazione lavorativa e,
se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ.), il Garante
ricorda espressamente il divieto di installare "apparecchiature per finalità di controllo a distanza dell'attività
dei lavoratori" sancito dall’art. 4, primo comma, dello Statuto dei lavoratori (Legge n. 300/1970). In questa
previsione devono senz’altro intendersi compresi anche quelle strumentazioni hardware e software mirate al
controllo dell'utente di un sistema di comunicazione elettronica. Il trattamento dei dati compiuto utilizzando tali
strumentazioni non potrà che considerarsi illecito, anche qualora i singoli lavoratori fossero consapevoli della
loro installazione, con l’ulteriore conseguenza che tutti i dati così trattati non potranno in alcun caso essere
utilizzabili, tanto meno in sede giudiziale. Inoltre, l’effettuazione di tali trattamenti, espressamente vietati dal
provvedimento, emesso a norma dell’art. 154 – 1°comma lett.d) dal Garante, può configurare il reato
(perseguibile d’ufficio) previsto dall’art. 170 del Codice della privacy e punito con la reclusione da tre mesi a
due anni.
Fra gli esempi di trattamenti effettuati mediante sistemi hardware e software preordinati al controllo a distanza,
il Garante evidenzia:
· lettura e registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di
quanto tecnicamente necessario per svolgere il servizio e-mail;
· riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
· lettura e registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
· analisi occulta di computer portatili affidati in uso.
Controlli “indiretti”
Se un utilizzo delle strumentazioni sopra ricordate, dirette espressamente al controllo dell'utente di un sistema di
comunicazione elettronica, deve considerarsi sicuramente vietato, così invece non appare l’utilizzo di sistemi
informativi per esigenze produttive o organizzative (es. per rilevare anomalie o per manutenzioni) o per la
sicurezza sul lavoro. Infatti, il datore di lavoro potrà avvalersi legittimamente di sistemi che consentono
indirettamente anche un eventuale controllo a distanza (c.d. controllo preterintenzionale) e determinano un
trattamento di dati personali riferiti o riferibili ai lavoratori. L’utilizzo, per le esigenze sopra esposte, di detti
sistemi dovrà però avvenire - secondo il Garante - nel rispetto dell’art. 4, secondo comma, dello Statuto dei
lavoratori, vale a dire solo a seguito di uno specifico accordo con le rappresentanze sindacali (o, in difetto, con
l'autorizzazione di un organo periferico dell'amministrazione del lavoro).
Uso di internet
Soffermandosi più diffusamente sull’utilizzo di internet, della posta elettronica e sui programmi che consentono
un controllo “indiretto” dei lavoratori, il Garante sottolinea le necessità che i datori di lavoro privilegino
l’adozione di misure organizzative e tecnologiche dirette a prevenire eventuali utilizzi impropri degli strumenti
informatici dati in dotazione ai lavoratori stessi, anziché l’adozione di misure repressive che, come tali,
potrebbero evidentemente comportare un trattamento di dati riferibili ai lavoratori eccessivo rispetto agli
interessi tutelati.
In questo senso, il datore di lavoro potrà ridurre i rischi di usi impropri della "navigazione" in Internet
attraverso misure preventive, quali, ad esempio:
· individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
· configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni – considerate non pertinenti
con l'attività lavorativa – quali l'upload o l'accesso a determinati siti (inseriti in una sorta di black list) e/o il
download di file o software aventi particolari caratteristiche (dimensionali o di tipologia di dato);
· trattamento di dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro
opportune aggregazioni (es. con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi
sufficientemente ampi di lavoratori);
· eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative,
produttive e di sicurezza.
Uso della posta elettronica
Anche in questo contesto, viene analizzata la liceità dei comportamenti del datore di lavoro che intenda
apprendere il contenuto di messaggi inviati all'indirizzo di posta elettronica usato dal lavoratore (posta "in
entrata") o di quelli inviati da quest'ultimo (posta "in uscita"). Il Garante evidenzia, in questo ambito, come
possa risultare “dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta elettronica
operando quale espressione dell'organizzazione datoriale o ne faccia un uso personale pur operando in una
struttura lavorativa. La mancata esplicitazione di una policy al riguardo può determinare anche una legittima
aspettativa del lavoratore, o di terzi, di confidenzialità rispetto ad alcune forme di comunicazione.”
Per eliminare i dubbi che lo stesso Garante esprime, appare quindi opportuna l’adozione nei confronti della
struttura interna di una specifica policy aziendale, venendo ben specificato che la casella di posta elettronica
assegnata al singolo utente, anche se riportante i suoi dati personali (nome e cognome), deve comunque
considerarsi uno strumento di lavoro e, come tale, deve essere utilizzata. Nei confronti dell’esterno, invece,
sarebbe opportuno dissipare i dubbi espressi dal Garante facendo proprio uno degli accorgimenti da questo
suggeriti, vale a dire prevedere che i messaggi di posta elettronica contengano un avvertimento ai destinatari nel
quale sia dichiarata la natura non personale dei messaggi stessi, precisando se le risposte potranno essere
conosciute nell'organizzazione di appartenenza del mittente e con eventuale rinvio alla policy datoriale.
Gli accorgimenti che il Garante suggerisce, e di seguito riportati, vengono anch’essi indicati come misure
preventive:
· rendere disponibili indirizzi di posta elettronica condivisi tra più lavoratori (es. [email protected],
[email protected], etc.), eventualmente affiancandoli a quelli individuali (es. [email protected],
mario.rossi@società.it);
· valutare la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore;
· gestire le assenze del lavoratore, adottando, ad esempio, apposite funzionalità di sistema direttamente attivabili
dal lavoratore che consentano di inviare automaticamente, in caso di sua assenze (es. per ferie,attività di lavoro
fuori sede, malattie), messaggi di risposta contenenti le "coordinate" (anche elettroniche o telefoniche) di un
altro soggetto o altre utili modalità di contatto della struttura. Nel caso però di eventuali assenze non
programmate (es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche
avvalendosi di servizi webmail) e perdurando l'assenza oltre un determinato limite temporale, il datore di lavoro
potrà, mediante personale appositamente incaricato (es. l'amministratore di sistema), procedere all'attivazione
di un analogo accorgimento, avvertendo gli interessati. Se, in caso di assenza improvvisa o prolungata e per
improrogabili necessità legate all'attività lavorativa, si debba conoscere il contenuto dei messaggi di posta
elettronica, il Garante suggerisce di porre l'interessato in grado di delegare un altro lavoratore (fiduciario) a
verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo
svolgimento dell'attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il
lavoratore interessato alla prima occasione utile;
· inserire nei messaggi di posta elettronica, come sopra già evidenziato, un avvertimento ai destinatari nel quale
sia dichiarata la natura non personale dei messaggi stessi.
Graduazione dei controlli compiuti dal datore di lavoro
Il controllo su dati aggregati (in forma anonima), riferito ad una specifica struttura lavorativa o a sue aree,
viene sicuramente preferito a quello su base individuale. Il controllo anonimo può concludersi con un avviso
generalizzato diretto ai dipendenti dell'area o del settore in cui è stata rilevata l'anomalia, nel quale si evidenzi
l’utilizzo irregolare degli strumenti aziendali e si invitino gli interessati ad attenersi scrupolosamente ai compiti
assegnati ed alle istruzioni impartite. In assenza di successive anomalie non sarà, di regola, giustificato
effettuare controlli su base individuale. Va comunque esclusa l'ammissibilità di controlli prolungati, costanti o
indiscriminati.
Conservazione dei dati personali riferibili ai controlli
Il Garante interviene anche in tema di conservazione dei dati personali (dei dipendenti) relativi agli accessi ad
Internet ed al traffico telematico, giustificandola solo per finalità specifiche, comprovate e limitate al tempo
necessario al loro raggiungimento. Appaiono così coerenti alle indicazioni del Garante quei sistemi software
programmati e configurati in modo da cancellare periodicamente ed automaticamente i dati la cui conservazione
non risulti più necessaria (es. attraverso procedure di sovraregistrazione, quale la cd. rotazione dei log file).
Un prolungamento dei tempi di conservazione va valutato come eccezionale e solo in relazione ad esigenze
tecniche o di sicurezza del tutto particolari, all'indispensabilità del dato rispetto all'esercizio o alla difesa di un
diritto in sede giudiziaria o, ancora, all'obbligo di custodire o consegnare i dati in ottemperanza ad una
richiesta dell'autorità giudiziaria.
Individuazione dei soggetti preposti allo svolgimento dei controlli
Il Garante ricorda come possa risultare utile la designazione (sebbene facoltativa), specie in strutture articolate,
di uno o più responsabili del trattamento cui il datore di lavoro andrà ad impartire precise istruzioni sul tipo di
controlli ammessi e sulle relative modalità.
Nel caso di eventuali interventi per esigenze di manutenzione del sistema, va posta opportuna cura nel prevenire
l'accesso a dati personali presenti in cartelle o spazi di memoria assegnati a dipendenti. Resta fermo l'obbligo
dei soggetti preposti (in particolare, degli incaricati della manutenzione) di svolgere solo operazioni
strettamente necessarie, senza realizzare alcuna attività di controllo a distanza, anche di propria iniziativa.
Resta altresì ferma la necessità che, nell'individuare regole di condotta dei soggetti che operano come
amministratori di sistema (o figure analoghe preposte al regolare funzionamento dei sistemi), sia svolta
un'attività formativa sui profili tecnico-gestionali e di sicurezza delle reti, sui principi di protezione dei dati
personali e sul segreto nelle comunicazioni.
Lavoro: le linee guida del Garante per posta elettronica e internet
(pubblicato nella GU n. 58 del 10.3.2007)
Registro delle deliberazioni
Del. n. 13 del 1° marzo 2007
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe
Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visti i reclami, le segnalazioni e i quesiti pervenuti riguardo ai trattamenti di dati personali effettuati da datori di lavoro riguardo all'uso, da
parte di lavoratori, di strumenti informatici e telematici;
Vista la documentazione in atti;
Visti gli artt. 24 e 154, comma 1, lett. b) e c) del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;
PREMESSO
1. Utilizzo della posta elettronica e della rete Internet nel rapporto di lavoro
1.1.
Premessa
Dall'esame di diversi reclami, segnalazioni e quesiti è emersa l'esigenza di prescrivere ai datori di lavoro alcune misure, necessarie o
opportune, per conformare alle disposizioni vigenti il trattamento di dati personali effettuato per verificare il corretto utilizzo nel rapporto
di lavoro della posta elettronica e della rete Internet.
Occorre muovere da alcune premesse:
a) compete ai datori di lavoro assicurare la funzionalità e il corretto impiego di tali mezzi da parte dei lavoratori, definendone le modalità
d'uso nell'organizzazione dell'attività lavorativa, tenendo conto della disciplina in tema di diritti e relazioni sindacali;
b) spetta ad essi adottare idonee misure di sicurezza per assicurare la disponibilità e l'integrità di sistemi informativi e di dati, anche per
prevenire utilizzi indebiti che possono essere fonte di responsabilità (artt. 15, 31 ss., 167 e 169 del Codice);
c) emerge l'esigenza di tutelare i lavoratori interessati anche perché l'utilizzazione dei predetti mezzi, già ampiamente diffusi nel contesto
lavorativo, è destinata ad un rapido incremento in numerose attività svolte anche fuori della sede lavorativa;
d) l'utilizzo di Internet da parte dei lavoratori può infatti formare oggetto di analisi, profilazione e integrale ricostruzione mediante
elaborazione di log file della navigazione web ottenuti, ad esempio, da un proxy server o da un altro strumento di registrazione delle
informazioni. I servizi di posta elettronica sono parimenti suscettibili (anche attraverso la tenuta di log file di traffico e-mail e
l'archiviazione di messaggi) di controlli che possono giungere fino alla conoscenza da parte del datore di lavoro (titolare del trattamento)
del
contenuto
della
corrispondenza;
e) le informazioni così trattate contengono dati personali anche sensibili riguardanti lavoratori o terzi, identificati o identificabili. (1)
1.2.
Tutela
del
lavoratore
Le informazioni di carattere personale trattate possono riguardare, oltre all'attività lavorativa, la sfera personale e la vita privata di
lavoratori e di terzi. La linea di confine tra questi ambiti, come affermato dalla Corte europea dei diritti dell'uomo, può essere tracciata a
volte solo con difficoltà. (2)
Il luogo di lavoro è una formazione sociale nella quale va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità degli
interessati garantendo che, in una cornice di reciproci diritti e doveri, sia assicurata l'esplicazione della personalità del lavoratore e una
ragionevole protezione della sua sfera di riservatezza nelle relazioni personali e professionali (artt. 2 e 41, secondo comma, Cost.; art. 2087
cod. civ.; cfr. altresì l'art. 2, comma 5, Codice dell'amministrazione digitale (d.lg. 7 marzo 2005, n. 82), riguardo al diritto ad ottenere che il
trattamento dei dati effettuato mediante l'uso di tecnologie telematiche sia conformato al rispetto dei diritti e delle libertà fondamentali,
nonché della dignità dell'interessato). (3)
Non a caso, nell'organizzare l'attività lavorativa e gli strumenti utilizzati, diversi datori di lavoro hanno prefigurato modalità d'uso che,
tenendo conto del crescente lavoro in rete e di nuove tariffe di traffico forfettarie, assegnano aree di lavoro riservate per appunti
strettamente personali, ovvero consentono usi moderati di strumenti per finalità private.
2. Codice in materia di protezione dei dati e discipline di settore
2.1.
Principi
generali
Nell'impartire le seguenti prescrizioni il Garante tiene conto del diritto alla protezione dei dati personali, della necessità che il trattamento
sia disciplinato assicurando un elevato livello di tutela delle persone, nonché dei principi di semplificazione, armonizzazione ed efficacia
(artt. 1 e 2 del Codice ). Le prescrizioni potranno essere aggiornate alla luce dell'esperienza e dell'innovazione tecnologica.
2.2.
Discipline
di
settore
Alcune disposizioni di settore, fatte salve dal Codice, prevedono specifici divieti o limiti, come quelli posti dallo Statuto dei lavoratori sul
controllo a distanza (artt. 113, 114 e 184, comma 3, del Codice; artt. 4 e 8 l. 20 maggio 1970, n. 300 ).
La disciplina di protezione dei dati va coordinata con regole di settore riguardanti il rapporto di lavoro e il connesso utilizzo di tecnologie,
nelle quali è fatta salva o richiamata espressamente (art. 47, comma 3, lett. b) Codice dell'amministrazione digitale). (4)
2.3.
Principi
del
Codice
I trattamenti devono rispettare le garanzie in materia di protezione dei dati e svolgersi nell'osservanza di alcuni cogenti principi:
a) il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi in relazione alle finalità perseguite (art. 3 del Codice; par. 5.2 );
b) il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori (art. 11, comma 1,
lett. a), del Codice). Le tecnologie dell'informazione (in modo più marcato rispetto ad apparecchiature tradizionali) permettono di svolgere
trattamenti ulteriori rispetto a quelli connessi ordinariamente all'attività lavorativa. Ciò, all'insaputa o senza la piena consapevolezza dei
lavoratori, considerate anche le potenziali applicazioni di regola non adeguatamente conosciute dagli interessati (v. par. 3 );
c) i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (art. 11, comma 1, lett. b), del Codice: par. 4 e 5),
osservando il principio di pertinenza e non eccedenza (par. 6). Il datore di lavoro deve trattare i dati "nella misura meno invasiva
possibile"; le attività di monitoraggio devono essere svolte solo da soggetti preposti (par. 8) ed essere "mirate sull'area di rischio, tenendo
conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza" (Parere n. 8/2001, cit.,
punti 5 e 12 ).
3. Controlli e correttezza nel trattamento
3.1.
Disciplina
interna
In base al richiamato principio di correttezza, l'eventuale trattamento deve essere ispirato ad un canone di trasparenza, come prevede anche
la disciplina di settore (art. 4, secondo comma, Statuto dei lavoratori;allegato VII, par. 3 d.lg. n. 626/1994 e successive integrazioni e
modificazioni in materia di "uso di attrezzature munite di videoterminali", il quale esclude la possibilità del controllo informatico
"all'insaputa dei lavoratori"). (5)
Grava quindi sul datore di lavoro l'onere di indicare in ogni caso, chiaramente e in modo particolareggiato, quali siano le modalità di
utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Ciò,
tenendo conto della pertinente disciplina applicabile in tema di informazione, concertazione e consultazione delle organizzazioni sindacali.
Per la predetta indicazione il datore ha a disposizione vari mezzi, a seconda del genere e della complessità delle attività svolte, e
informando il personale con modalità diverse anche a seconda delle dimensioni della struttura, tenendo conto, ad esempio, di piccole realtà
dove vi è una continua condivisione interpersonale di risorse informative.
3.2.
Linee
guida
In questo quadro, può risultare opportuno adottare un disciplinare interno redatto in modo chiaro e senza formule generiche, da
pubblicizzare adeguatamente (verso i singoli lavoratori, nella rete interna, mediante affissioni sui luoghi di lavoro con modalità analoghe a
quelle previste dall'art. 7 dello Statuto dei lavoratori, ecc.) e da sottoporre ad aggiornamento periodico.
A seconda dei casi andrebbe ad esempio specificato:
se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet (ad es., il download di software o di file musicali),
oppure alla tenuta di file nella rete interna;
in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di rete, anche solo da determinate
postazioni di lavoro o caselle oppure ricorrendo a sistemi di webmail, indicandone le modalità e l'arco temporale di utilizzo (ad es., fuori
dall'orario di lavoro o durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log eventualmente registrati) e chi (anche
all'esterno) vi può accedere legittimamente;
se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma centralizzata o meno (anche per effetto di copie
di back up, della gestione tecnica della rete o di file di log );
se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le
ragioni legittime –specifiche e non generiche– per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e
le relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi avvisi collettivi o individuali ed
effettuati controlli nominativi o su singoli dispositivi e postazioni);
quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati che la posta elettronica e la rete Internet
sono utilizzate indebitamente;
le soluzioni prefigurate per garantire, con la cooperazione del lavoratore, la continuità dell'attività lavorativa in caso di assenza del
lavoratore stesso (specie se programmata), con particolare riferimento all'attivazione di sistemi di risposta automatica ai messaggi di posta
elettronica ricevuti;
se sono utilizzabili modalità di uso personale di mezzi con pagamento o fatturazione a carico dell'interessato;
quali misure sono adottate per particolari realtà lavorative nelle quali debba essere rispettato l'eventuale segreto professionale cui siano
tenute specifiche figure professionali;
le prescrizioni interne sulla sicurezza dei dati e dei sistemi (art. 34 del Codice, nonché Allegato B), in particolare regole 4, 9, 10 ).
3.3.
Informativa
(art.
13
del
Codice)
All'onere del datore di lavoro di prefigurare e pubblicizzare una policy interna rispetto al corretto uso dei mezzi e agli eventuali controlli, si
affianca il dovere di informare comunque gli interessati ai sensi dell'art. 13 del Codice, anche unitamente agli elementi indicati ai punti 3.1.
e 3.2..
Rispetto a eventuali controlli gli interessati hanno infatti il diritto di essere informati preventivamente, e in modo chiaro, sui trattamenti di
dati che possono riguardarli.
Le finalità da indicare possono essere connesse a specifiche esigenze organizzative, produttive e di sicurezza del lavoro, quando
comportano un trattamento lecito di dati (art. 4, secondo comma, l. n. 300/1970 ); possono anche riguardare l'esercizio di un diritto in sede
giudiziaria.
Devono essere tra l'altro indicate le principali caratteristiche dei trattamenti, nonché il soggetto o l'unità organizzativa ai quali i lavoratori
possono rivolgersi per esercitare i propri diritti.
4. Apparecchiature preordinate al controllo a distanza
Con riguardo al principio secondo cui occorre perseguire finalità determinate, esplicite e legittime (art. 11, comma 1, lett. b), del Codice), il
datore di lavoro può riservarsi di controllare (direttamente o attraverso la propria struttura) l'effettivo adempimento della prestazione
lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro (cfr. artt. 2086, 2087 e 2104 cod. civ. ).
Nell'esercizio di tale prerogativa occorre rispettare la libertà e la dignità dei lavoratori, in particolare per ciò che attiene al divieto di
installare "apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori" (art. 4, primo comma, l. n. 300/1970), tra cui sono
certamente comprese strumentazioni hardware e software mirate al controllo dell'utente di un sistema di comunicazione elettronica.
Il trattamento dei dati che ne consegue è illecito, a prescindere dall'illiceità dell'installazione stessa. Ciò, anche quando i singoli lavoratori
ne siano consapevoli. (6)
In particolare non può ritenersi consentito il trattamento effettuato mediante sistemi hardware e software preordinati al controllo a distanza,
grazie ai quali sia possibile ricostruire –a volte anche minuziosamente– l'attività di lavoratori. É il caso, ad esempio:
della lettura e della registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto
tecnicamente necessario per svolgere il servizio e-mail;
della riproduzione ed eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
della lettura e della registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
dell'analisi occulta di computer portatili affidati in uso.
Il controllo a distanza vietato dalla legge riguarda l'attività lavorativa in senso stretto e altre condotte personali poste in essere nel luogo di
lavoro. (7) A parte eventuali responsabilità civili e penali, i dati trattati illecitamente non sono utilizzabili (art. 11, comma 2, del Codice).
(8)
5. Programmi che consentono controlli "indiretti"
5.1. Il datore di lavoro, utilizzando sistemi informativi per esigenze produttive o organizzative (ad es., per rilevare anomalie o per
manutenzioni) o, comunque, quando gli stessi si rivelano necessari per la sicurezza sul lavoro, può avvalersi legittimamente, nel rispetto
dello Statuto dei lavoratori (art. 4, comma 2), di sistemi che consentono indirettamente un controllo a distanza (c.d. controllo
preterintenzionale) e determinano un trattamento di dati personali riferiti o riferibili ai lavoratori. (9) Ciò, anche in presenza di attività di
controllo discontinue. (10)
Il trattamento di dati che ne consegue può risultare lecito. Resta ferma la necessità di rispettare le procedure di informazione e di
consultazione di lavoratori e sindacati in relazione all'introduzione o alla modifica di sistemi automatizzati per la raccolta e l'utilizzazione
dei dati (11), nonché in caso di introduzione o di modificazione di procedimenti tecnici destinati a controllare i movimenti o la produttività
dei lavoratori. (12)
5.2.
Principio
di
necessità
In applicazione del menzionato principio di necessità il datore di lavoro è chiamato a promuovere ogni opportuna misura, organizzativa e
tecnologica volta a prevenire il rischio di utilizzi impropri (da preferire rispetto all'adozione di misure "repressive") e, comunque, a
"minimizzare" l'uso di dati riferibili ai lavoratori (artt. 3, 11, comma 1, lett. d) e 22, commi 3 e 5, del Codice; aut. gen. al trattamento dei
dati sensibili n. 1/2005, punto 4).
Dal punto di vista organizzativo è quindi opportuno che:
si valuti attentamente l'impatto sui diritti dei lavoratori (prima dell'installazione di apparecchiature suscettibili di consentire il controllo a
distanza e dell'eventuale trattamento);
si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l'utilizzo della posta elettronica e l'accesso a Internet; (13)
si determini quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abusivo.
Il datore di lavoro ha inoltre l'onere di adottare tutte le misure tecnologiche volte a minimizzare l'uso di dati identificativi (c.d. privacy
enhancing technologies–PETs ). Le misure possono essere differenziate a seconda della tecnologia impiegata (ad es., posta elettronica o
navigazione in Internet).
a)
Internet:
la
navigazione
web
Il datore di lavoro, per ridurre il rischio di usi impropri della "navigazione" in Internet (consistenti in attività non correlate alla prestazione
lavorativa quali la visione di siti non pertinenti, l'upload o il download di file, l'uso di servizi di rete con finalità ludiche o estranee
all'attività), deve adottare opportune misure che possono, così, prevenire controlli successivi sul lavoratore. Tali controlli, leciti o meno a
seconda dei casi, possono determinare il trattamento di informazioni personali, anche non pertinenti o idonei a rivelare convinzioni
religiose, filosofiche o di altro genere, opinioni politiche, lo stato di salute o la vita sessuale (art. 8 l. n. 300/1970; artt. 26 e 113 del Codice;
Provv. 2 febbraio 2006, cit. ).
In particolare, il datore di lavoro può adottare una o più delle seguenti misure opportune, tenendo conto delle peculiarità proprie di
ciascuna organizzazione produttiva e dei diversi profili professionali:
individuazione di categorie di siti considerati correlati o meno con la prestazione lavorativa;
configurazione di sistemi o utilizzo di filtri che prevengano determinate operazioni –reputate inconferenti con l'attività lavorativa– quali
l'upload o l'accesso a determinati siti (inseriti in una sorta di black list) e/o il download di file o software aventi particolari caratteristiche
(dimensionali o di tipologia di dato);
trattamento di dati in forma anonima o tale da precludere l'immediata identificazione di utenti mediante loro opportune aggregazioni (ad
es., con riguardo ai file di log riferiti al traffico web, su base collettiva o per gruppi sufficientemente ampi di lavoratori);
eventuale conservazione nel tempo dei dati strettamente limitata al perseguimento di finalità organizzative, produttive e di sicurezza.
b)
Posta
elettronica
Il contenuto dei messaggi di posta elettronica –come pure i dati esteriori delle comunicazioni e i file allegati– riguardano forme di
corrispondenza assistite da garanzie di segretezza tutelate anche costituzionalmente, la cui ratio risiede nel proteggere il nucleo essenziale
della dignità umana e il pieno sviluppo della personalità nelle formazioni sociali; un'ulteriore protezione deriva dalle norme penali a tutela
dell'inviolabilità dei segreti (artt. 2 e 15 Cost.; Corte cost. 17 luglio 1998, n. 281 e 11 marzo 1993, n. 81; art. 616, quarto comma, c.p.; art.
49 Codice dell'amministrazione digitale). (14)
Tuttavia, con specifico riferimento all'impiego della posta elettronica nel contesto lavorativo e in ragione della veste esteriore attribuita
all'indirizzo di posta elettronica nei singoli casi, può risultare dubbio se il lavoratore, in qualità di destinatario o mittente, utilizzi la posta
elettronica operando quale espressione dell'organizzazione datoriale o ne faccia un uso personale pur operando in una struttura lavorativa.
La mancata esplicitazione di una policy al riguardo può determinare anche una legittima aspettativa del lavoratore, o di terzi, di
confidenzialità rispetto ad alcune forme di comunicazione.
Tali incertezze si riverberano sulla qualificazione, in termini di liceità, del comportamento del datore di lavoro che intenda apprendere il
contenuto di messaggi inviati all'indirizzo di posta elettronica usato dal lavoratore (posta "in entrata") o di quelli inviati da quest'ultimo
(posta "in uscita").
É quindi particolarmente opportuno che si adottino accorgimenti anche per prevenire eventuali trattamenti in violazione dei principi di
pertinenza e non eccedenza. Si tratta di soluzioni che possono risultare utili per contemperare le esigenze di ordinato svolgimento
dell'attività lavorativa con la prevenzione di inutili intrusioni nella sfera personale dei lavoratori, nonché violazioni della disciplina
sull'eventuale segretezza della corrispondenza.
In questo quadro è opportuno che:
il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad esempio, [email protected],
[email protected], ufficioreclami@società.com, [email protected], etc.), eventualmente affiancandoli a quelli individuali (ad esempio,
[email protected], rossi@società.com, mario.rossi@società.it);
il datore di lavoro valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad uso privato del lavoratore; (15)
il datore di lavoro metta a disposizione di ciascun lavoratore apposite funzionalità di sistema, di agevole utilizzo, che consentano di inviare
automaticamente, in caso di assenze (ad es., per ferie o attività di lavoro fuori sede), messaggi di risposta contenenti le "coordinate" (anche
elettroniche o telefoniche) di un altro soggetto o altre utili modalità di contatto della struttura. É parimenti opportuno prescrivere ai
lavoratori di avvalersi di tali modalità, prevenendo così l'apertura della posta elettronica. (16) In caso di eventuali assenze non
programmate (ad es., per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail), il
titolare del trattamento, perdurando l'assenza oltre un determinato limite temporale, potrebbe disporre lecitamente, sempre che sia
necessario e mediante personale appositamente incaricato (ad es., l'amministratore di sistema oppure, se presente, un incaricato aziendale
per la protezione dei dati), l'attivazione di un analogo accorgimento, avvertendo gli interessati;
in previsione della possibilità che, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, si
debba conoscere il contenuto dei messaggi di posta elettronica, l'interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a
verificare il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa.
A cura del titolare del trattamento, di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima
occasione utile;
i messaggi di posta elettronica contengano un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale dei
messaggi stessi, precisando se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente e con eventuale
rinvio alla predetta policy datoriale.
6. Pertinenza e non eccedenza
6.1.
Graduazione
dei
controlli
Nell'effettuare controlli sull'uso degli strumenti elettronici deve essere evitata un'interferenza ingiustificata sui diritti e sulle libertà
fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata.
L'eventuale controllo è lecito solo se sono rispettati i principi di pertinenza e non eccedenza.
Nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il datore di
lavoro può adottare eventuali misure che consentano la verifica di comportamenti anomali.
Deve essere per quanto possibile preferito un controllo preliminare su dati aggregati, riferiti all'intera struttura lavorativa o a sue aree.
Il controllo anonimo può concludersi con un avviso generalizzato relativo ad un rilevato utilizzo anomalo degli strumenti aziendali e con
l'invito ad attenersi scrupolosamente a compiti assegnati e istruzioni impartite. L'avviso può essere circoscritto a dipendenti afferenti
all'area o settore in cui è stata rilevata l'anomalia. In assenza di successive anomalie non è di regola giustificato effettuare controlli su base
individuale.
Va esclusa l'ammissibilità di controlli prolungati, costanti o indiscriminati.
6.2.
Conservazione
I sistemi software devono essere programmati e configurati in modo da cancellare periodicamente ed automaticamente (attraverso
procedure di sovraregistrazione come, ad esempio, la cd. rotazione dei log file ) i dati personali relativi agli accessi ad Internet e al traffico
telematico,
la
cui
conservazione
non
sia
necessaria.
In assenza di particolari esigenze tecniche o di sicurezza, la conservazione temporanea dei dati relativi all'uso degli strumenti elettronici
deve essere giustificata da una finalità specifica e comprovata e limitata al tempo necessario –e predeterminato– a raggiungerla (v. art. 11,
comma 1, lett. e), del Codice ).
Un eventuale prolungamento dei tempi di conservazione va valutato come eccezionale e può aver luogo solo in relazione:
ad esigenze tecniche o di sicurezza del tutto particolari;
all'indispensabilità del dato rispetto all'esercizio o alla difesa di un diritto in sede giudiziaria;
all'obbligo di custodire o consegnare i dati per ottemperare ad una specifica richiesta dell'autorità giudiziaria o della polizia giudiziaria.
In questi casi, il trattamento dei dati personali (tenendo conto, con riguardo ai dati sensibili, delle prescrizioni contenute nelle
autorizzazioni generali nn. 1/2005 e 5/2005 adottate dal Garante) deve essere limitato alle sole informazioni indispensabili per perseguire
finalità preventivamente determinate ed essere effettuato con logiche e forme di organizzazione strettamente correlate agli obblighi, compiti
e finalità già esplicitati.
7. Presupposti di liceità del trattamento: bilanciamento di interessi
7.1.
Datori
di
lavoro
privati
I datori di lavoro privati e gli enti pubblici economici, se ricorrono i presupposti sopra indicati (v., in particolare, art. 4, secondo comma,
dello Statuto ), possono effettuare lecitamente il trattamento dei dati personali diversi da quelli sensibili.
Ciò, può avvenire:
a) se ricorrono gli estremi del legittimo esercizio di un diritto in sede giudiziaria (art. 24, comma 1, lett. f) del Codice );
b)
in
caso
di
valida
manifestazione
di
un
libero
consenso;
c) anche in assenza del consenso, ma per effetto del presente provvedimento che individua un legittimo interesse al trattamento in
applicazione della disciplina sul c.d. bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice ).
Per tale bilanciamento si è tenuto conto delle garanzie che lo Statuto prevede per il controllo "indiretto" a distanza presupponendo non il
consenso degli interessati, ma un accordo con le rappresentanze sindacali (o, in difetto, l'autorizzazione di un organo periferico
dell'amministrazione del lavoro).
L'eventuale trattamento di dati sensibili è consentito con il consenso degli interessati o, senza il consenso, nei casi previsti dal Codice (in
particolare, esercizio di un diritto in sede giudiziaria, salvaguardia della vita o incolumità fisica; specifici obblighi di legge anche in caso di
indagine giudiziaria: art. 26).
7.2.
Datori
di
lavoro
pubblici
Per quanto riguarda i soggetti pubblici restano fermi i differenti presupposti previsti dal Codice a seconda della natura dei dati, sensibili o
meno (artt. 18-22 e 112 ).
In tutti i casi predetti resta impregiudicata la facoltà del lavoratore di opporsi al trattamento per motivi legittimi (art. 7, comma 4, lett. a),
del Codice ).
8. Individuazione dei soggetti preposti
Il datore di lavoro può ritenere utile la designazione (facoltativa), specie in strutture articolate, di uno o più responsabili del trattamento cui
impartire precise istruzioni sul tipo di controlli ammessi e sulle relative modalità (art. 29 del Codice ).
Nel caso di eventuali interventi per esigenze di manutenzione del sistema, va posta opportuna cura nel prevenire l'accesso a dati personali
presenti in cartelle o spazi di memoria assegnati a dipendenti.
Resta fermo l'obbligo dei soggetti preposti al connesso trattamento dei dati (in particolare, gli incaricati della manutenzione) di svolgere
solo operazioni strettamente necessarie al perseguimento delle relative finalità, senza realizzare attività di controllo a distanza, anche di
propria iniziativa.
Resta parimenti ferma la necessità che, nell'individuare regole di condotta dei soggetti che operano quali amministratori di sistema o figure
analoghe cui siano rimesse operazioni connesse al regolare funzionamento dei sistemi, sia svolta un'attività formativa sui profili tecnicogestionali e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto nelle comunicazioni (cfr. Allegato B) al Codice,
regola n. 19.6; Parere n. 8/2001 cit., punto 9).
TUTTO CIÒ PREMESSO IL GARANTE
1) prescrive ai datori di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare la misura necessaria a
garanzia degli interessati, nei termini di cui in motivazione, riguardante l'onere di specificare le modalità di utilizzo della posta elettronica e
della rete Internet da parte dei lavoratori (punto 3.1.), indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in
che misura e con quali modalità vengano effettuati controlli;
2) indica inoltre, ai medesimi datori di lavoro, le seguenti linee guida a garanzia degli interessati, nei termini di cui in motivazione, per ciò
che riguarda:
a) l'adozione e la pubblicizzazione di un disciplinare interno (punto 3.2.);
b) l'adozione di misure di tipo organizzativo (punto 5.2.) affinché, segnatamente:
si proceda ad un'attenta valutazione dell'impatto sui diritti dei lavoratori;
si individui preventivamente (anche per tipologie) a quali lavoratori è accordato l'utilizzo della posta elettronica e dell'accesso a Internet;
si individui quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di impieghi abusivi;
c) l'adozione di misure di tipo tecnologico, e segnatamente:
I. rispetto alla "navigazione" in Internet (punto 5.2., a):
l'individuazione di categorie di siti considerati correlati o non correlati con la prestazione lavorativa;
la configurazione di sistemi o l'utilizzo di filtri che prevengano determinate operazioni;
il trattamento di dati in forma anonima o tale da precludere l'immediata identificazione degli utenti mediante opportune aggregazioni;
l'eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;
la graduazione dei controlli (punto 6.1.);
II. rispetto all'utilizzo della posta elettronica (punto 5.2., b):
la messa a disposizione di indirizzi di posta elettronica condivisi tra più lavoratori, eventualmente affiancandoli a quelli individuali;
l'eventuale attribuzione al lavoratore di un diverso indirizzo destinato ad uso privato;
la messa a disposizione di ciascun lavoratore, con modalità di agevole esecuzione, di apposite funzionalità di sistema che consentano di
inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le "coordinate" di altro soggetto o altre utili
modalità di contatto dell'istituzione presso la quale opera il lavoratore assente;
consentire che, qualora si debba conoscere il contenuto dei messaggi di posta elettronica in caso di assenza improvvisa o prolungata e per
improrogabili necessità legate all'attività lavorativa, l'interessato sia messo in grado di delegare un altro lavoratore (fiduciario) a verificare
il contenuto di messaggi e a inoltrare al titolare del trattamento quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. Di tale
attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato alla prima occasione utile;
l'inserzione nei messaggi di un avvertimento ai destinatari nel quale sia dichiarata l'eventuale natura non personale del messaggio e sia
specificato se le risposte potranno essere conosciute nell'organizzazione di appartenenza del mittente;
la graduazione dei controlli (punto 6.1.);
3) vieta ai datori di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. d), del Codice, di effettuare trattamenti di dati personali
mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori (punto 4), svolti in particolare mediante:
a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente
necessario per svolgere il servizio e-mail;
b) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;
c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;
d) l'analisi occulta di computer portatili affidati in uso;
4) individua, ai sensi dell'art. 24, comma 1, lett. g), del Codice, nei termini di cui in motivazione (punto 7), i casi nei quali il trattamento
dei dati personali di natura non sensibile possono essere effettuati per perseguire un legittimo interesse del datore di lavoro anche senza il
consenso degli interessati;
5) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua
pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice.
Roma, 1° marzo 2007
IL
PRESIDENTE
Pizzetti
IL
RELATORE
Paissan
IL
SEGRETARIO
GENERALE
Buttarelli
(1) Cfr. Gruppo Art. 29 sulla protezione dei dati, Parere n. 8/2001 sul trattamento dei dati personali nel contesto dell'occupazione, 13
settembre 2001, punti 5 e 12, in http://ec.europa.eu/...pdf.
(2) Cfr. Niemitz v. Germany, 23 novembre 1992, par. 29; v. pure Halford v. United Kingdom, 25 giugno 1997, parr. 44-46.
(3) V. pure Gruppo Art. 29 cit., Documento di lavoro riguardante la vigilanza sulle comunicazioni elettroniche sul posto di lavoro, Wp 55,
29 maggio 2002, p. 4, in http://ec.europa.eu/...pdf .
(4) V. pure la Direttiva per l'impiego della posta elettronica nelle pubbliche amministrazioni del 27 novembre 2003; Raccomandazione n. R
(89)2 del Consiglio d'Europa in materia di protezione dei dati personali nel contesto del rapporto di lavoro, in http://cm.coe.int/...doc);
Parere n. 8/2001, cit., punto 5.
(5) V. altresì la Raccomandazione n. R (89) 2, cit., punto 3; Parere n. 8/2001, cit., punto 9.1 e Wp 55, cit., punto 3.1.3.
(6) Cass. 18 febbraio 1983, n. 1236 e 16 settembre 1997, n. 9211.
(7) Cfr. Cass. 11 marzo 1986, n. 1490.
(8) Cfr. anche Cass., 17 giugno 2000, n. 8250 rispetto all'uso probatorio.
(9) Cass. 18 febbraio 1983, n. 1236 e 16 settembre 1997, n. 9211.
(10) Cass. 11 marzo 1986, n. 1490 cit.
(11) Raccomandazione n. R (89)2, cit., art. 3, comma 1.
(12) Art. 3 cit., comma 2; disposizione in base alla quale, in presenza di rischi "per il diritto al rispetto della vita privata e della dignità
umana dei lavoratori, dovrà essere ricercato l'accordo dei lavoratori o dei loro rappresentanti prima dell'introduzione o della modifica di tali
sistemi o procedimenti, a meno che altre garanzie specifiche non siano previste dalla legislazione nazionale": art. 3, comma 3.
(13) Cfr. Provv. 2 febbraio 2006 , in http://www.garanteprivacy.it, doc. web n. 1229854.
(14) Cfr. nota del Garante 16 giugno 1999 , Boll. n. 9, giugno 1999 , p. 96; Tar Lazio, Sez. I ter, 15 novembre 2001, n. 9425.
(15) Cfr. il documento Wp 55, cit., p. 23.
(16) Cfr. il documento Wp 55, cit., p. 5.
