Gazzetta n. 101 del 3 maggio 2011 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 21 aprile 2011
Autorizzazione al trattamento dei dati sensibili nell'attivita' di mediazione finalizzata alla conciliazione delle controversie civili e commerciali. (Deliberazione n. 161/2011).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorita' e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonche' dalla legge e dai regolamenti;
Considerato che il trattamento dei dati in questione puo' essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresi' superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento;
Visto il decreto legislativo 4 marzo 2010, n. 28 di attuazione dell'art. 60 della legge 18 giugno 2009, n. 69 in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali e il d.m. del 18 ottobre 2010, n. 180 emanato ai sensi dell'art. 16 del predetto decreto legislativo;
Considerato che un elevato numero di trattamenti di dati sensibili e' effettuato da parte degli organismi definiti a norma dell'art. 1 comma 1, lett. d) del decreto legislativo n. 28/2010 per l'espletamento delle rispettive attivita';
Vista l'autorizzazione generale n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale rilasciata, altresi', quando il trattamento sia necessario «per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonche' in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalita' o in altro diritto o liberta' fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario per il loro perseguimento» (punto 1.3., lett. a);
Ritenuto che il trattamento di dati sensibili effettuato dagli organismi di mediazione ai sensi del decreto legislativo n. 28/2010 non sia riconducibile all'autorizzazione generale n. 5/2009 al trattamento dei dati sensibili da parte di diverse categorie di titolari in considerazione delle categorie di soggetti a cui si rivolge e delle relative prescrizioni;
Ritenuto necessario, pertanto, per permettere il trattamento di dati sensibili nell'esercizio della mediazione finalizzata alla conciliazione delle controversie civili e commerciali ai sensi del decreto legislativo n. 28/2010, rilasciare una nuova autorizzazione al trattamento dei dati sensibili;
Visto l'art. 27 del Codice, che consente il trattamento di dati giudiziari da parte di privati o di enti pubblici economici, soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalita' di rilevante interesse pubblico del trattamento, i tipi di dati trattati e le operazioni eseguibili;
Vista l'autorizzazione generale n. 7/2009 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici rilasciata «a chiunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonche' in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi [...]» (punto 2) lett. a), e, quindi, applicabile anche al trattamento di dati a carattere giudiziario indispensabili nell'ambito dell'attivita' di mediazione di cui al decreto legislativo n. 28/2010;
Considerato opportuno che anche tale nuova autorizzazione sia provvisoria e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice; ritenuto congruo, in particolare, statuirne l'efficacia, nella fase di prima applicazione della disciplina normativa di cui al menzionato decreto legislativo n. 28/2010, fino al 30 giugno 2012, cio' in quanto entro tale periodo di tempo dovrebbero essere ultimati gli adempimenti necessari per dare attuazione all'art. 16 del decreto legislativo n. 28/2010 secondo i criteri indicati dall'art. 4 del d.m. n. 180/2010 con conseguente completamento del quadro normativo di riferimento;
Considerata la necessita' di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le liberta' fondamentali, nonche' per la dignita' delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall'art. 1 del Codice;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli articoli 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

Autorizza:

1) Soggetti ai quali e' rilasciata l'autorizzazione.
Sono autorizzati, anche senza richiesta, a trattare i dati sensibili di cui all'art. 4, comma 1, lett. d), del Codice, secondo le prescrizioni di seguito indicate gli organismi di mediazione privati di cui all'art. 1, comma 1, del decreto legislativo 4 marzo 2010, n. 28 e successive modificazioni e integrazioni.
2) Finalita' del trattamento.
Il trattamento dei dati sensibili puo' essere effettuato ai soli fini dell'espletamento di un'attivita' che rientri tra quelle che i soggetti indicati al punto 1) possono svolgere ai sensi del decreto legislativo n. 28/2010 e successive modifiche ed integrazioni e, in particolare, per assistere due o piu' soggetti sia nella ricerca di un accordo amichevole per la composizione di una controversia, sia, ove tale accordo non venga raggiunto, nella formulazione di una proposta per la risoluzione della stessa. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalita' o in un altro diritto o liberta' fondamentale e inviolabile.
3) Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i soli dati sensibili attinenti ai soggetti coinvolti nella controversia oggetto di conciliazione.
I dati sensibili relativi ai terzi possono essere trattati ove cio' sia strettamente indispensabile per l'attivita' di mediazione.
4) Categorie di dati e operazioni di trattamento.
Il trattamento puo' riguardare i soli dati e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione alla specifica controversia oggetto di mediazione e rispetto ad attivita' che non possano essere svolte mediante il trattamento di dati anonimi o di dati personali di natura diversa.
Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata autorizzazione generale n. 2/2009.
5) Comunicazione dei dati.
I dati sensibili possono essere comunicati, laddove indispensabile, alle parti nel procedimento di mediazione finalizzata alla conciliazione delle controversie civili e commerciali, nei limiti strettamente pertinenti all'espletamento dello specifico incarico di mediazione conferito e nel rispetto del decreto legislativo n. 28/2010.
I dati sensibili non possono essere diffusi.
6) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati, per il periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per la gestione dell'attivita' di mediazione.
A tal fine, anche mediante controlli periodici, deve essere verificata la stretta pertinenza, non eccedenza e indispensabilita' dei dati rispetto agli incarichi in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per l'indispensabilita' dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
7) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita', qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prendera' in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformita' alle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
8) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti piu' restrittivi in materia di trattamento di dati personali.
Restano fermi, altresi', gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonche' gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
9) Efficacia temporale.
La presente autorizzazione ha efficacia fino al 30 giugno 2012, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novita' normative rilevanti in materia.
La presente autorizzazione sara' pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 21 aprile 2011

Il Presidente e relatore: Pizzetti
Il segretario generale: De Paoli
 
Gazzetta Ufficiale Serie Generale per iPhone