IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Francesco
Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,
vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del dott. Daniele De Paoli, segretario
generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
Codice in materia di protezione dei dati personali;
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato
Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i
soggetti privati e gli enti pubblici economici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorita' e, ove
necessario, con il consenso scritto degli interessati,
nell'osservanza dei presupposti e dei limiti stabiliti dal Codice,
nonche' dalla legge e dai regolamenti;
Considerato che il trattamento dei dati in questione puo' essere
autorizzato dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti di autorizzazione da parte di
numerosi titolari del trattamento;
Visto il decreto legislativo 4 marzo 2010, n. 28 di attuazione
dell'art. 60 della legge 18 giugno 2009, n. 69 in materia di
mediazione finalizzata alla conciliazione delle controversie civili e
commerciali e il d.m. del 18 ottobre 2010, n. 180 emanato ai sensi
dell'art. 16 del predetto decreto legislativo;
Considerato che un elevato numero di trattamenti di dati sensibili
e' effettuato da parte degli organismi definiti a norma dell'art. 1
comma 1, lett. d) del decreto legislativo n. 28/2010 per
l'espletamento delle rispettive attivita';
Vista l'autorizzazione generale n. 2/2009 al trattamento dei dati
idonei a rivelare lo stato di salute e la vita sessuale rilasciata,
altresi', quando il trattamento sia necessario «per far valere o
difendere un diritto anche da parte di un terzo in sede giudiziaria,
nonche' in sede amministrativa o nelle procedure di arbitrato e di
conciliazione nei casi previsti dalle leggi, dalla normativa
comunitaria, dai regolamenti o dai contratti collettivi, sempre che
il diritto sia di rango pari a quello dell'interessato, ovvero
consistente in un diritto della personalita' o in altro diritto o
liberta' fondamentale e inviolabile, e i dati siano trattati
esclusivamente per tali finalita' e per il periodo strettamente
necessario per il loro perseguimento» (punto 1.3., lett. a);
Ritenuto che il trattamento di dati sensibili effettuato dagli
organismi di mediazione ai sensi del decreto legislativo n. 28/2010
non sia riconducibile all'autorizzazione generale n. 5/2009 al
trattamento dei dati sensibili da parte di diverse categorie di
titolari in considerazione delle categorie di soggetti a cui si
rivolge e delle relative prescrizioni;
Ritenuto necessario, pertanto, per permettere il trattamento di
dati sensibili nell'esercizio della mediazione finalizzata alla
conciliazione delle controversie civili e commerciali ai sensi del
decreto legislativo n. 28/2010, rilasciare una nuova autorizzazione
al trattamento dei dati sensibili;
Visto l'art. 27 del Codice, che consente il trattamento di dati
giudiziari da parte di privati o di enti pubblici economici, soltanto
se autorizzato da espressa disposizione di legge o provvedimento del
Garante che specifichino le finalita' di rilevante interesse pubblico
del trattamento, i tipi di dati trattati e le operazioni eseguibili;
Vista l'autorizzazione generale n. 7/2009 al trattamento dei dati a
carattere giudiziario da parte di privati, di enti pubblici economici
e di soggetti pubblici rilasciata «a chiunque, per far valere o
difendere un diritto anche da parte di un terzo in sede giudiziaria,
nonche' in sede amministrativa o nelle procedure di arbitrato e di
conciliazione nei casi previsti dalle leggi, dalla normativa
comunitaria, dai regolamenti o dai contratti collettivi [...]» (punto
2) lett. a), e, quindi, applicabile anche al trattamento di dati a
carattere giudiziario indispensabili nell'ambito dell'attivita' di
mediazione di cui al decreto legislativo n. 28/2010;
Considerato opportuno che anche tale nuova autorizzazione sia
provvisoria e a tempo determinato, ai sensi dell'art. 41, comma 5,
del Codice; ritenuto congruo, in particolare, statuirne l'efficacia,
nella fase di prima applicazione della disciplina normativa di cui al
menzionato decreto legislativo n. 28/2010, fino al 30 giugno 2012,
cio' in quanto entro tale periodo di tempo dovrebbero essere ultimati
gli adempimenti necessari per dare attuazione all'art. 16 del decreto
legislativo n. 28/2010 secondo i criteri indicati dall'art. 4 del
d.m. n. 180/2010 con conseguente completamento del quadro normativo
di riferimento;
Considerata la necessita' di garantire il rispetto di alcuni
principi volti a ridurre al minimo i rischi di danno o di pericolo
che i trattamenti potrebbero comportare per i diritti e le liberta'
fondamentali, nonche' per la dignita' delle persone, e in
particolare, per il diritto alla protezione dei dati personali
sancito dall'art. 1 del Codice;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i
dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare
tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e
regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli articoli 42 e seguenti del Codice in materia di
trasferimento di dati personali all'estero;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Autorizza:
1) Soggetti ai quali e' rilasciata l'autorizzazione.
Sono autorizzati, anche senza richiesta, a trattare i dati
sensibili di cui all'art. 4, comma 1, lett. d), del Codice, secondo
le prescrizioni di seguito indicate gli organismi di mediazione
privati di cui all'art. 1, comma 1, del decreto legislativo 4 marzo
2010, n. 28 e successive modificazioni e integrazioni.
2) Finalita' del trattamento.
Il trattamento dei dati sensibili puo' essere effettuato ai soli
fini dell'espletamento di un'attivita' che rientri tra quelle che i
soggetti indicati al punto 1) possono svolgere ai sensi del decreto
legislativo n. 28/2010 e successive modifiche ed integrazioni e, in
particolare, per assistere due o piu' soggetti sia nella ricerca di
un accordo amichevole per la composizione di una controversia, sia,
ove tale accordo non venga raggiunto, nella formulazione di una
proposta per la risoluzione della stessa. Qualora i dati siano idonei
a rivelare lo stato di salute e la vita sessuale, il diritto da far
valere o difendere deve essere di rango pari a quello
dell'interessato, ovvero consistente in un diritto della personalita'
o in un altro diritto o liberta' fondamentale e inviolabile.
3) Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i soli dati sensibili attinenti ai
soggetti coinvolti nella controversia oggetto di conciliazione.
I dati sensibili relativi ai terzi possono essere trattati ove cio'
sia strettamente indispensabile per l'attivita' di mediazione.
4) Categorie di dati e operazioni di trattamento.
Il trattamento puo' riguardare i soli dati e le sole operazioni che
risultino indispensabili, pertinenti e non eccedenti in relazione
alla specifica controversia oggetto di mediazione e rispetto ad
attivita' che non possano essere svolte mediante il trattamento di
dati anonimi o di dati personali di natura diversa.
Il trattamento dei dati idonei a rivelare lo stato di salute e la
vita sessuale deve essere effettuato anche nel rispetto della citata
autorizzazione generale n. 2/2009.
5) Comunicazione dei dati.
I dati sensibili possono essere comunicati, laddove indispensabile,
alle parti nel procedimento di mediazione finalizzata alla
conciliazione delle controversie civili e commerciali, nei limiti
strettamente pertinenti all'espletamento dello specifico incarico di
mediazione conferito e nel rispetto del decreto legislativo n.
28/2010.
I dati sensibili non possono essere diffusi.
6) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma
1, lett. e), del Codice, i dati sensibili possono essere conservati,
per il periodo di tempo previsto dalla normativa comunitaria, da
leggi, o da regolamenti e, comunque, per un periodo non superiore a
quello strettamente necessario per la gestione dell'attivita' di
mediazione.
A tal fine, anche mediante controlli periodici, deve essere
verificata la stretta pertinenza, non eccedenza e indispensabilita'
dei dati rispetto agli incarichi in corso, da instaurare o cessati,
anche con riferimento ai dati che l'interessato fornisce di propria
iniziativa. I dati che, anche a seguito delle verifiche, risultano
eccedenti o non pertinenti o non indispensabili non possono essere
utilizzati, salvo che per l'eventuale conservazione, a norma di
legge, dell'atto o del documento che li contiene. Specifica
attenzione e' prestata per l'indispensabilita' dei dati riferiti a
soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni e gli adempimenti.
7) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorita',
qualora il trattamento che si intende effettuare sia conforme alle
prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento
medesimo.
Il Garante non prendera' in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformita' alle
prescrizioni del presente provvedimento, salvo che, ai sensi
dell'art. 41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione.
8) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di
regolamento o dalla normativa comunitaria che stabiliscono divieti o
limiti piu' restrittivi in materia di trattamento di dati personali.
Restano fermi, altresi', gli obblighi di legge che vietano la
rivelazione senza giusta causa e l'impiego a proprio o altrui
profitto delle notizie coperte dal segreto professionale, nonche' gli
obblighi deontologici o di buona condotta relativi alle singole
figure professionali.
9) Efficacia temporale.
La presente autorizzazione ha efficacia fino al 30 giugno 2012,
salve eventuali modifiche che il Garante ritenga di dover apportare
in conseguenza di eventuali novita' normative rilevanti in materia.
La presente autorizzazione sara' pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 21 aprile 2011
Il Presidente e relatore: Pizzetti
Il segretario generale: De Paoli
|
