Il provvedimento adottato dal Garante, che sara’ pubblicato in Gazzetta Ufficiale, individua i trattamenti di dati personali che non dovranno essere oggetto di notificazione. Gia’ il Codice in materia di protezione dei dati personali, entrato in vigore il 1 gennaio scorso, aveva introdotto una robusta semplificazione in materia, riducendo a pochi casi essenziali l’obbligo di notificare preventivamente all’Autorita’ l’avvio di un trattamento di dati.
Fin dalle prime settimane di applicazione del Codice, e in vista del termine transitorio del 30 aprile per la presentazione delle notificazioni, il Garante ha ritenuto necessario individuare, a date condizioni, nuove semplificazioni che interessano societa’, enti locali, operatori sanitari (in particolare medici di medicina generale e pediatri), liberi professionisti, datori di lavoro e gestori di impianti di videosorveglianza.
L’Autorita’ Garante per la protezione dei dati personali in applicazione di quanto prescritto dall’art. 37 comma 2 del Codice per la protezione dei dati personali ha adottato in data 31 marzo 2004 un provvedimento che prevede di sottrarre all’obbligo di notificazione al Garante, tra i casi previsti dall’art. 37, comma 1, del d.lgs. 30 giugno 2003, n. 196 specifiche fattispecie ed in particolare:
con riferimento ai casi di cui al comma 1, lett. a) della disposizione di cui sopra:
a) i trattamenti non sistematici di dati genetici o biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica;
b) i trattamenti di dati genetici o biometrici effettuati nell’esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria;
c) i trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto.
Con riferimento ai casi di cui al comma 1, lett. b) dell’art. 37, i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti:
a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositivita’; b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione.
Con riferimento ai casi di cui al comma 1, lett. c), i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori:
a) effettuati da associazioni, enti od organismi a carattere sindacale per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto al lavoro dei disabili;
b) effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza.
Con riferimento ai casi di cui al comma 1, lett. d), i trattamenti di dati personali:
a) che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalita’ di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla lettera e) del medesimo art. 37, comma 1;
b) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria;
c) relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformita’ alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito Internet.
Con riferimento ai casi di cui al comma 1, lett. e), i trattamenti di dati sensibili effettuati:
a) al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al medesimo gruppo bancario o societario;
b) da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato del lavoro;
c) da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l’adesione alla medesima associazione o organizzazione.
Con riferimento ai casi di cui al comma 1, lett. f), i trattamenti di dati personali:
a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque;
b) registrati in banche di dati utilizzate in rapporti con l’interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali;
c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza;
d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni;
e) relativi a immagini o suoni conservati temporaneamente per esclusive finalita’ di sicurezza o di tutela delle persone o del patrimonio;
f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all’esclusivo fine di prestare l’attivita’ di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali (“confidi”).
Come sostenuto in precedenza gia’ l’art. 37 del codice per la protezione dei dati personali ed il successivo art. 38 hanno previsto un deciso intervento di semplificazione e razionalizzazione del sistema delle notificazioni avviato dal decreto legislativo n. 467/2001, rivelatosi, sulla base dell’esperienza, per alcuni aspetti non indispensabile rispetto alle reali finalita’ di trasparenza perseguite dalla direttiva comunitaria.
Con le modifiche apportate, sono stati snelliti gli adempimenti in favore sia di soggetti privati, sia della pubblica amministrazione. Si prevede, infatti, l’individuazione di un elenco “in positivo” di un numero piu’ ristretto di categorie di trattamenti soggetti a notificazione, modificando il precedente impianto della normativa che, com’e’ noto, prevedeva un obbligo piu’ ampio di effettuare la notificazione e individuava, poi, alcuni casi di esonero dall’obbligo o forme semplificate di notificazione. Il codice, completando, come si e’ detto, l’intervento normativo avviato dal d.lgs. n. 467/2001, che aveva individuato le linee generali del nuovo sistema e demandato ad un regolamento governativo la determinazione dei casi e della modalita’ della notificazione, individua in positivo le tipologie dei trattamenti oggetto di notificazione al Garante in quanto suscettibili di recare pregiudizio ai diritti e alle liberta’ dell’interessato.
Vari sono, inoltre, gli interventi di ulteriore semplificazione del sistema.
La disposizione in esame prevede, anzitutto, che l’Autorita’ possa individuare, nell’ambito dei trattamenti individuati dalla norma e appena descritti, eventuali trattamenti non suscettibili, in concreto, di recare pregiudizio agli interessati e quindi sottratti all’obbligo di notificazione.
La notificazione potra’ essere, poi, effettuata su un modello piu’ snello di quello attuale, mentre un altro significativo elemento di semplificazione e’ riscontrabile nella soppressione dell’obbligo di effettuare una specifica notifica dei dati destinati all’estero (cfr. art. 43, rispetto al previgente art. 28, l. n. 675/1996).
Il titolare del trattamento, pertanto, deve provvedere alla notifica nei soli casi previsti dall’articolo in esame, (ora ulteriormente ridotti) con un adempimento richiesto una tantum (salvo, ovviamente, l’obbligo di notificare le eventuali modifiche del trattamento o la sua cessazione) e sempre con un unico atto anche quando il trattamento comporta un trasferimento di dati all’estero (comma 3).
Le notificazioni sono inserite nel registro dei trattamenti tenuto dal Garante, ove sono consultabili da chiunque con modalita’ agevoli. Infine, una norma di chiusura conferma la piena attuazione del principio di massima trasparenza dei trattamenti previsto, oltre che dalla normativa comunitaria, dalla Convenzione del Consiglio d’Europa n. 108 del 1981, prevedendo che, in ogni caso, il titolare del trattamento il quale non e’ tenuto all’obbligo di notificazione ai sensi dell’art. 37, deve fornire all’interessato, ad eventuale richiesta, le notizie contenute nel modello predisposto per le notificazioni, salvo che il trattamento riguardi registri o elenchi pubblici.
Lo stesso art. 18 della Direttiva 95/46/CE prevede al 1° comma l’obbligo della notificazione a carico del responsabile del trattamento, od eventualmente del suo rappresentante, presso l’autorita’ di controllo di cui all’articolo 28, prima di procedere alla realizzazione di un trattamento, o di un insieme di trattamenti, interamente o parzialmente automatizzato, destinato al conseguimento di una o piu’ finalita’ correlate.
Mentre al 2° comma prevede una semplificazione o l’esonero dall’obbligo di notificazione: qualora si tratti di categorie di trattamento che, in considerazione dei dati oggetto di trattamento, non siano tali da recare pregiudizio ai diritti e alle liberta’ della persona interessata; qualora il responsabile del trattamento designi, conformemente alla legislazione nazionale applicabile, un incaricato della protezione dei dati, a cui e’ demandato in particolare: di assicurare in maniera indipendente l’applicazione interna delle disposizioni nazionali di attuazione della direttiva e di tenere un registro dei trattamenti effettuati dal responsabile del trattamento in cui figurino le informazioni di cui all’articolo 21, paragrafo 2, della direttiva, garantendo in tal modo che il trattamento non sia tale da recare pregiudizio ai diritti e alle liberta’ della persona interessata.
Scritto da
ROMA. L’Autorita’ Garante per la protezione dei dati personali (StefanoRodota’, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha adottato il31 marzo 2004 il previsto provvedimento per individuare i trattamenti didati personali (raccolta, uso, conservazione etc.) che non dovranno essereoggetto di notificazione al Garante.Gia’ il codice in materia di protezione dei dati personali, entrato invigore il 1 gennaio scorso, aveva introdotto una robusta semplificazione inmateria, riducendo a pochi casi essenziali l’obbligo di notificarepreventivamente all’Autorita’ l’avvio di un trattamento di dati.Fin dalle prime settimane di applicazione del Codice, e in vista del terminetransitorio del 30 aprile per la presentazione delle notificazioni, ilGarante ha ritenuto necessario individuare, a date condizioni, nuovesemplificazioni che interessano societa’, enti locali, operatori sanitari(in particolare medici di medicina generale e pediatri), liberiprofessionisti, datori di lavoro e gestori di impianti di videosorveglianza.Il provvedimento sara’ pubblicato sulla Gazzetta Ufficiale.L’Autorita’ Garante per la protezione dei dati personali in applicazione diquanto prescritto dall’art. 37 comma 2 del Codice per la protezione dei datipersonali ha, quindi, adottato in data 31 marzo 2004 un provvedimento cheprevede di sottrarre all’obbligo di notificazione al Garante, tra i casiprevisti dall’art. 37, comma 1, del d.lgs. 30 giugno 2003, n. 196 specifichefattispecie ed in particolare: 1) con riferimento ai casi di cui al comma 1,lett. a) della disposizione di cui sopra: i trattamenti non sistematici didati genetici o biometrici effettuati da esercenti le professioni sanitarie;i trattamenti di dati genetici o biometrici effettuati nell’esercizio dellaprofessione di avvocato; i trattamenti di dati che indicano la posizionegeografica di mezzi di trasporto aereo, navale e terrestre. 2) Conriferimento ai casi di cui al comma 1, lett. b) dell’art. 37, determinatitrattamenti di dati idonei a rivelare lo stato di salute e la vita sessualeeffettuati da esercenti le professioni sanitarie, anche unitamente ad altriesercenti titolari dei medesimi trattamenti. 3) Con riferimento ai casi dicui al comma 1, lett. c), determinati trattamenti di dati idonei a rivelarela sfera psichica di lavoratori. 4) Con riferimento ai casi di cui al comma1, lett. d), i trattamenti di dati personali: che non siano fondatiunicamente su un trattamento automatizzato volto a definire profiliprofessionali, effettuati per esclusive finalita’ di occupazione o digestione del rapporto di lavoro oppure il profilo di un investitoreeffettuati esclusivamente per adempiere a specifici obblighi previsti dallanormativa in materia di intermediazione finanziaria. 5) Con riferimento aicasi di cui al comma 1, lett. e), determinati trattamenti di dati sensibili.6) Con riferimento ai casi di cui al comma 1, lett. f), i trattamenti didati personali effettuati da soggetti pubblici per la tenuta di pubbliciregistri o altri trattamenti registrati in banche di dati per specifichefinalita’.Come sostenuto in precedenza gia’ l’art. 37 del codice per la protezione deidati personali ed il successivo art. 38 hanno previsto un deciso interventodi semplificazione e razionalizzazione del sistema delle notificazioniavviato dal decreto legislativo n. 467/2001, rivelatosi, sulla base dell’esperienza, per alcuni aspetti non indispensabile rispetto alle realifinalita’ di trasparenza perseguite dalla normativa comunitaria.
Commenta!