IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito «Codice»); Visto, in particolare, l'art. 4, comma 1, lettera d), del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorita' e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonche' dalla legge e dai regolamenti; Visto il comma 4, lettera c), del medesimo art. 26, il quale stabilisce che i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento medesimo e' necessario per svolgere una investigazione difensiva ai sensi della legge 7 dicembre 2000, n. 397 o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento, e che, quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale dell'interessato il diritto sia di rango pari a quello dell'interessato, ovvero consista in un diritto della personalita' o in altri diritti o liberta' fondamentali; Considerato che il trattamento dei dati in questione puo' essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice); Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresi' superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento; Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2016, armonizzando le prescrizioni gia' impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice, e, in particolare, efficaci fino al 24 maggio 2018, tenuto conto che a decorrere dal 25 maggio 2018 sara' applicabile il regolamento (UE) 2016/679, entrato in vigore il 24 maggio 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE; Considerata la necessita' di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le liberta' fondamentali, nonche' per la dignita' delle persone, e, in particolare, per il diritto alla protezione dei dati personali sancito dall'art. 1 del Codice; Considerato che il Garante ha rilasciato un'autorizzazione di ordine generale relativa ai dati idonei a rivelare lo stato di salute e la vita sessuale (n. 2/2016), anche in riferimento alle predette finalita' di ordine giudiziario; Considerato che numerosi trattamenti aventi tali finalita' sono effettuati con l'ausilio di investigatori privati, e che e' pertanto opportuno integrare anche le prescrizioni dell'autorizzazione n. 2/2016 mediante un ulteriore provvedimento di ordine generale che tenga conto dello specifico contesto dell'investigazione privata, anche al fine di armonizzare le prescrizioni da impartire alla categoria; Considerato che ulteriori misure ed accorgimenti sono state prescritti dal Garante con il codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive emanato ai sensi dell'art. 12 del Codice (deliberazione del Garante n. 60 del 6 novembre 2008, in Gazzetta Ufficiale 24 novembre 2008, n. 275); Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli articoli 42 e seguenti del Codice in materia di trasferimento di dati personali all'estero; Visto l'art. 167 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la dott.ssa Augusta Iannini;
Autorizza gli investigatori privati a trattare i dati sensibili di cui all'art. 4, comma 1, lettera d), del Codice, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalita' perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalita' che permettano di identificare l'interessato solo in caso di necessita', in conformita' all'art. 3 del Codice. 1) Ambito di applicazione. La presente autorizzazione e' rilasciata alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli organismi che esercitano un'attivita' di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni). 2) Finalita' del trattamento. Il trattamento puo' essere effettuato unicamente per l'espletamento dell'incarico ricevuto dai soggetti di cui al punto 1) e in particolare: a) per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto, che, quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale dell'interessato, deve essere di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero consistente in un diritto della personalita' o in un altro diritto o liberta' fondamentale; b) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell'esercizio del diritto alla prova (art. 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397). Restano ferme le altre autorizzazioni generali rilasciate ai fini dello svolgimento delle investigazioni in relazione ad un procedimento penale o per l'esercizio di un diritto in sede giudiziaria, in particolare: a) nell'ambito dei rapporti di lavoro (autorizzazione n. 1/2016); b) relativamente ai dati idonei a rivelare lo stato di salute e la vita sessuale (autorizzazione n. 2/2016); c) da parte degli organismi di tipo associativo e delle fondazioni (autorizzazione n. 3/2016); d) da parte dei liberi professionisti iscritti in albi o elenchi professionali, ivi inclusi i difensori e i relativi sostituti ed ausiliari (autorizzazione n. 4/2016); e) relativamente ai dati di carattere giudiziario (autorizzazione n. 7/2016). 3) Categorie di dati e interessati ai quali i dati si riferiscono. Il trattamento puo' riguardare i dati sensibili di cui all'art. 4, comma 1, lettera d) del Codice, qualora cio' sia strettamente indispensabile per eseguire specifici incarichi conferiti per scopi determinati e legittimi nell'ambito delle finalita' di cui al punto 1), che non possano essere adempiute mediante il trattamento di dati anonimi o di dati personali di natura diversa. I dati devono essere pertinenti e non eccedenti rispetto agli incarichi conferiti. 4) Modalita' di trattamento. Gli investigatori privati non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di dati. Tali attivita' possono essere eseguite esclusivamente sulla base di un apposito incarico conferito per iscritto, anche da un difensore, per le esclusive finalita' di cui al punto 2). L'atto di incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l'investigazione e' collegata, nonche' i principali elementi di fatto che giustificano l'investigazione e il termine ragionevole entro cui questa deve essere conclusa. Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonche' dagli articoli 31 e seguenti del Codice e dall'Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonche' con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto alle finalita' di cui al punto 2). L'interessato o la persona presso la quale sono raccolti i dati deve essere informata ai sensi dell'art. 13 del Codice, ponendo in particolare evidenza l'identita' e la qualita' professionale dell'investigatore, nonche' la natura facoltativa del conferimento dei dati. Nel caso in cui i dati siano raccolti presso terzi, e' necessario informare l'interessato e acquisire il suo consenso scritto (art. 13, commi 1, 4 e 5 e art. 26, comma 4, del Codice), solo se i dati sono trattati per un periodo superiore a quello strettamente necessario per esercitare il diritto in sede giudiziaria o per svolgere le investigazioni difensive, oppure se i dati sono utilizzati per ulteriori finalita' non incompatibili con quelle precedentemente perseguite. Il difensore o il soggetto che ha conferito l'incarico devono essere informati periodicamente dell'andamento dell'investigazione, anche al fine di permettere loro una valutazione tempestiva circa le determinazioni da adottare riguardo all'esercizio del diritto in sede giudiziaria o al diritto alla prova. L'investigatore privato deve eseguire personalmente l'incarico ricevuto e non puo' avvalersi di altri investigatori non indicati nominativamente all'atto del conferimento dell'incarico, oppure successivamente in calce a esso qualora tale possibilita' sia stata prevista nell'atto di incarico. Nel caso in cui si avvalga di collaboratori interni designati quali responsabili o incaricati del trattamento in conformita' a quanto previsto dagli articoli 29 e 30 del Codice, l'investigatore privato deve vigilare con cadenza almeno settimanale sulla puntuale osservanza delle norme di legge e delle istruzioni impartite. Tali soggetti possono avere accesso ai soli dati strettamente pertinenti alla collaborazione ad essi richiesta. Per quanto non previsto nella presente autorizzazione, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato nel rispetto delle ulteriori prescrizioni contenute nell'autorizzazione generale n. 2/2016 e, per cio' che riguarda le informazioni relative ai dati genetici, nel rispetto dell'autorizzazione adottata ai sensi dell'art. 90 del Codice. Il trattamento dei dati deve inoltre rispettare le prescrizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive emanato ai sensi dell'art. 12 del Codice (deliberazione del Garante n. 60 del 6 novembre 2008, in Gazzetta Ufficiale 24 novembre 2008, n. 275). 5) Conservazione dei dati. Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lettera e), del Codice i dati sensibili possono essere conservati per un periodo non superiore a quello strettamente necessario per eseguire l'incarico ricevuto. A tal fine deve essere verificata costantemente, anche mediante controlli periodici, la stretta pertinenza, non eccedenza e indispensabilita' dei dati rispetto alle finalita' perseguite e all'incarico conferito. Una volta conclusa la specifica attivita' investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l'immediata comunicazione al difensore o al soggetto che ha conferito l'incarico i quali possono consentire, anche in sede di mandato, l'eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l'attivita' svolta, ai soli fini dell'eventuale dimostrazione della liceita' e correttezza del proprio operato. Se e' stato contestato il trattamento il difensore o il soggetto che ha conferito l'incarico possono anche fornire all'investigatore il materiale necessario per dimostrare la liceita' e correttezza del proprio operato, per il tempo a cio' strettamente necessario. La sola pendenza del procedimento al quale l'investigazione e' collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati da parte dell'investigatore privato. 6) Comunicazione e diffusione dei dati. I dati possono essere comunicati unicamente al soggetto che ha conferito l'incarico. I dati non possono essere comunicati ad un altro investigatore privato, salvo che questi sia stato indicato nominativamente nell'atto di incarico e la comunicazione sia necessaria per lo svolgimento dei compiti affidati. I dati idonei a rivelare lo stato di salute possono essere comunicati alle autorita' competenti solo se cio' e' necessario per finalita' di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia. I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi. 7) Richieste di autorizzazione. I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita', qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo. Il Garante non prendera' in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformita' alle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione. 8) Norme finali. Restano fermi gli obblighi previsti dalla normativa dell'Unione europea, ovvero da norme di legge o di regolamento, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare: a) dagli articoli 4 (impianti e apparecchiature per finalita' di controllo a distanza dei lavoratori) e 8 (indagini sulle opinioni del lavoratore o su altri fatti non rilevanti ai fini della valutazione dell'attitudine professionale) della legge 20 maggio 1970, n. 300 e dall'art. 10 (indagini sulle opinioni del lavoratore e trattamenti discriminatori) del decreto legislativo 10 settembre 2003, n. 276; b) dalla legge 5 giugno 1990, n. 135, in materia di sieropositivita' e di infezione da HIV; c) dalle norme volte a prevenire discriminazioni; d) dall'art. 734-bis del codice penale, il quale vieta la divulgazione non consensuale delle generalita' o dell'immagine della persona offesa da atti di violenza sessuale. Restano fermi, in particolare, gli obblighi previsti in tema di liceita' e di correttezza nell'uso di strumenti o apparecchiature che permettono la raccolta di informazioni anche sonore o visive, ovvero in tema di accesso a banche dati o di cognizione del contenuto della corrispondenza e di comunicazioni o conversazioni telefoniche, telematiche o tra soggetti presenti. Resta ferma la facolta' per le persone fisiche di trattare direttamente dati per l'esclusivo fine della tutela di un proprio diritto in sede giudiziaria, anche nell'ambito delle investigazioni relative ad un procedimento penale. In tali casi, il Codice non si applica anche se i dati sono comunicati occasionalmente ad una autorita' giudiziaria o a terzi, sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione (art. 5, comma 3, del Codice). 9) Efficacia temporale. La presente autorizzazione ha efficacia dal 1° gennaio 2017 fino al 24 maggio 2018, tenuto conto che a decorrere dal 25 maggio 2018 sara' applicabile il regolamento (UE) 2016/679 (relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE) entrato in vigore il 24 maggio 2016, salve le modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novita' normative rilevanti in materia e ferme restando le determinazioni eventualmente adottate dall'Autorita' in applicazione del citato regolamento. La presente autorizzazione sara' pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 15 dicembre 2016
Il presidente Soro Il relatore Iannini Il segretario generale Busia
|