Gazzetta n. 176 del 29 luglio 2019 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 5 giugno 2019
Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101. (Provvedimento n. 146).


IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito «regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il «codice») come novellato dal decreto legislativo 10 agosto 2018, n. 101, recante «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679»;
Viste le autorizzazioni generali adottate ai sensi degli articoli 26 e 40 del codice;
Considerato che gli articoli 26 e 40 del codice sono stati abrogati dall'art. 27, comma 1, lettera a), n. 2), del citato decreto legislativo n. 101/2018;
Considerato che l'art. 21 del decreto legislativo n. 101/2018, in attuazione delle disposizioni del regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali gia' adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonche' al Capo IX, del regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il codice, provvedendo, altresi', al loro aggiornamento ove occorrente;
Ritenuto di dare attuazione al citato art. 21 del decreto legislativo n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all'adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies del codice;
Rilevato che l'autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel regolamento e nel codice (art. 10 del regolamento; art. 2-octies del codice e art. 21 del decreto legislativo n. 101/2018), ha cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione;
Considerato che a decorrere dal 25 maggio 2018 l'espressione «dati sensibili» si intende riferita alle categorie particolari di dati di cui al citato art. 9 del regolamento (art. 22, comma 2, del decreto legislativo n. 101/2018);
Visto l'art. 9 del regolamento, che individua i presupposti per il trattamento dei dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonche' dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (c.d. «categorie particolari di dati personali», paragrafo 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (paragrafo 4);
Rilevato che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti piu' restrittivi in materia di trattamento di dati personali;
Visto l'art. 2-decies, del codice, secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall'art. 160-bis dello stesso codice;
Considerato che, in base all'art. 21, comma 5, del decreto legislativo n. 101/2018, la violazione delle prescrizioni contenute nel presente provvedimento generale sono soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5, del regolamento;
Visto il provvedimento generale del 13 dicembre 2018, n. 497, con il quale il Garante ha individuato le prescrizioni contenute nelle autorizzazioni generali numeri 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il regolamento e con il decreto legislativo n. 101/2018 di adeguamento del codice;
Visto che con il medesimo provvedimento il Garante ha deliberato, come richiesto dall'art. 21, comma 1, del decreto legislativo n. 101/2018, di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni che si e' conclusa decorsi sessanta giorni dalla data di pubblicazione del relativo avviso (Gazzetta ufficiale n. 9 dell'11 gennaio 2019);
Viste le osservazioni e le proposte pervenute al Garante inerenti ai risvolti applicativi del richiamato provvedimento prescrittivo da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento;
Ritenuto di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonche' di armonizzarle nel contesto normativo vigente;
Visto l'art. 170 del codice come sostituito dall'art. 15, comma 1, lettera e), del decreto legislativo n. 101/2018;
Visti gli articoli 21, comma 5, del decreto legislativo n. 101/2018 e 83, paragrafo 5, del regolamento;
Visti gli atti d´ufficio;
Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;

Tutto cio' premesso
il Garante:

Ai sensi dell'art. 21, comma 1, del decreto legislativo 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonche' al Capo IX del regolamento riportate nell'allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 21, comma 2, del decreto legislativo n. 101/2018.
Roma, 5 giugno 2019

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia

 
Allegato 1
1. Prescrizioni relative al trattamento di categorie particolari di
dati nei rapporti di lavoro (aut. gen. n. 1/2016).

I trattamenti dei dati personali nel contesto lavorativo, alla luce del quadro normativo delineato dal regolamento (UE) 2016/679, sono considerati se effettuati da datori di lavoro sia pubblici che privati (cfr. articoli 88 e 9, paragrafo 2, lettera b), del regolamento UE 2016/679); cio', diversamente dall'impianto del codice anteriore alle modifiche del decreto legislativo n. 101/2018. 1.1 Ambito di applicazione.
Il presente provvedimento si applica nei confronti di tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti per finalita' d'instaurazione, gestione ed estinzione del rapporto di lavoro, in particolare:
a) agenzie per il lavoro e altri soggetti che, in conformita' alla legge, svolgono, nell'interesse di terzi, attivita' di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale ivi compresi gli enti di formazione accreditati;
b) persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 1.2, lettere c) e d);
c) organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa dell'Unione europea, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali;
d) rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;
e) soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro;
f) associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi in materia di assistenza sindacale ai datori di lavoro;
g) medico competente in materia di salute e sicurezza sul lavoro, che opera in qualita' di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate. 1.2 Interessati ai quali i dati si riferiscono.
Il presente provvedimento si applica ai trattamenti di categorie particolari di dati personali, acquisiti di regola direttamente presso l'interessato, riferiti a:
a) candidati all'instaurazione dei rapporti di lavoro, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell'instaurazione di un rapporto di lavoro (art. 111-bis del codice);
b) lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l'abilitazione professionale, ovvero prestatori di lavoro nell'ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
d) soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti indicati nel precedente punto 1.1;
e) persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi indicati nel precedente punto 1.1;
f) terzi danneggiati nell'esercizio dell'attivita' lavorativa o professionale;
g) terzi (familiari o conviventi dei soggetti di cui alle precedenti lettere b) e d) per il rilascio di agevolazioni e permessi. 1.3 Finalita' del trattamento.
Il trattamento delle categorie particolari di dati personali e' effettuato solo se necessario (art. 9, paragrafo 2, del regolamento UE 2016/679):
a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell'Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del regolamento UE 2016/679), nonche' del riconoscimento di agevolazioni ovvero dell'erogazione di contributi, dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonche' in materia fiscale e sindacale;
b) anche fuori dei casi di cui alla lettera a), in conformita' alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilita' o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalita' o benefici accessori;
c) per perseguire finalita' di salvaguardia della vita o dell'incolumita' fisica del lavoratore o di un terzo;
d) per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonche' in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell'Unione europea, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento; il trattamento di dati personali effettuato per finalita' di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose; resta salvo quanto stabilito dall'art. 60 del codice;
e) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilita' del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell'esercizio dell'attivita' lavorativa o professionale;
f) per garantire le pari opportunita' nel lavoro;
g) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro. 1.4 Prescrizioni specifiche relative alle diverse categorie di dati. 1.4.1 Trattamenti effettuati nella fase preliminare alle assunzioni.
a) le agenzie per il lavoro e agli altri soggetti che, in conformita' alla legge, svolgono, nell'interesse proprio o di terzi, attivita' di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale possono trattare i dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica dei candidati all'instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto;
b) il trattamento effettuato ai fini dell'instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l'invio di curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall'art. 113 del codice, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalita', anche tenuto conto delle particolari mansioni e/o delle specificita' dei profili professionali richiesti;
c) qualora nei curricula inviati dai candidati siano presenti dati non pertinenti rispetto alla finalita' perseguita i soggetti di cui alla lettera a) o i datori di lavoro che effettuano la selezione devono astenersi dall'utilizzare tali informazioni;
d) i dati genetici non possono essere trattati al fine di stabilire l'idoneita' professionale di un candidato all'impiego, neppure con il consenso dell'interessato. 1.4.2 Trattamenti effettuati nel corso del rapporto di lavoro.
a) il datore di lavoro tratta dati che rivelano le convinzioni religiose o filosofiche ovvero l'adesione ad associazioni od organizzazioni a carattere religioso o filosofico esclusivamente in caso di fruizione di permessi in occasione di festivita' religiose o per le modalita' di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l'esercizio dell'obiezione di coscienza;
b) il datore di lavoro tratta dati che rivelano le opinioni politiche o l'appartenenza sindacale, o l'esercizio di funzioni pubbliche e incarichi politici, di attivita' o di incarichi sindacali esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonche' per consentire l'esercizio dei diritti sindacali compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali;
c) il datore di lavoro in caso di partecipazione di dipendenti ad operazioni elettorali in qualita' di rappresentanti di lista, in applicazione del principio di necessita', non deve trattare nell'ambito della documentazione da presentare al fine del riconoscimento di benefici di legge, dati che rivelino le opinioni politiche (ad esempio, non deve essere richiesto il documento che designa il rappresentate di lista essendo allo scopo sufficiente la certificazione del presidente di seggio);
d) il datore di lavoro non puo' trattare dati genetici al fine di stabilire l'idoneita' professionale di un dipendente, neppure con il consenso dell'interessato. 1.5 Prescrizioni specifiche relative alle modalita' di trattamento.
Con riferimento alle modalita' di trattamento, si rappresenta quanto segue:
a) i dati devono essere raccolti, di regola, presso l'interessato;
b) in tutte le comunicazioni all'interessato che contengono categorie particolari di dati devono essere utilizzate forme di comunicazione anche elettroniche individualizzate nei confronti di quest'ultimo o di un suo delegato, anche per il tramite di personale autorizzato. Nel caso in cui si proceda alla trasmissione del documento cartaceo, questo dovra' essere trasmesso, di regola, in plico chiuso, salva la necessita' di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell'atto;
c) i documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all'interno del testo. A tal fine dovranno essere selezionate e impiegate modalita' di trasmissione della documentazione che ne garantiscano la ricezione e il relativo trattamento da parte dei soli uffici o strutture organizzative competenti e del solo personale autorizzato;
d) quando per ragioni di organizzazione del lavoro, e nell'ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall'interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell'assenza dalle quali sia possibile evincere la conoscibilita' di particolari categorie di dati personali (es. permessi sindacali o dati sanitari). 2. Prescrizioni relative al trattamento di categorie particolari di
dati da parte degli organismi di tipo associativo, delle
fondazioni, delle chiese e associazioni o comunita' religiose (aut.
gen. n. 3/2016). 2.1 Ambito di applicazione.
Le prescrizioni di seguito indicate si applicano:
a) alle associazioni anche non riconosciute, ai partiti e ai movimenti politici, alle associazioni e alle organizzazioni sindacali, ai patronati e alle associazioni di categoria, alle casse di previdenza, alle organizzazioni assistenziali o di volontariato e, piu' in generale, del terzo settore, nonche' alle federazioni e confederazioni nelle quali tali soggetti sono riuniti in conformita', ove esistenti, allo statuto, all'atto costitutivo o ad un contratto collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalita' giuridica, ivi comprese le organizzazioni non lucrative di utilita' sociale (Onlus);
c) alle cooperative sociali e alle societa' di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886, n. 3818;
d) agli istituti scolastici, limitatamente al trattamento dei dati che rivelino le convinzioni religiose e per le operazioni strettamente necessarie per l'applicazione degli articoli 310 e 311 del decreto legislativo 16 aprile 1994, n. 297, e degli articoli 3 e 10 del decreto legislativo 19 febbraio 2004, n. 59;
e) alle chiese, associazioni o comunita' religiose. 2.2 Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i dati particolari attinenti:
a) agli associati, ai soci e, se strettamente indispensabile per il perseguimento delle finalita' perseguite, ai relativi familiari e conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonche' ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunita' religiose;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attivita' o dei servizi prestati dall'associazione o da enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunita' religiose, limitatamente ai soggetti individuabili in base allo statuto o all'atto costitutivo, ove esistenti, o comunque a coloro nell'interesse dei quali i soggetti menzionati al punto 2.1 possono operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di iscrizione agli istituti di cui al punto 2.1, lettera d) e, qualora si tratti di minori, ai loro genitori o a chi ne esercita la potesta';
f) ai lavoratori dipendenti degli associati e dei soci, limitatamente ai dati idonei a rivelare l'adesione a sindacati, associazioni od organizzazioni a carattere sindacale e alle operazioni necessarie per adempiere a specifici obblighi derivanti da contratti collettivi anche aziendali. 2.3 Finalita' del trattamento.
Il trattamento dei dati particolari puo' essere effettuato per il perseguimento di scopi determinati e legittimi individuati dalla legge, dall'atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalita' culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione anche con riguardo alla liberta' di scelta dell'insegnamento religioso, di formazione, di patrocinio, di tutela dell'ambiente e delle opere d'interesse artistico e storico, di salvaguardia dei diritti civili, di beneficenza, assistenza sociale o socio-sanitaria.
Il trattamento dei predetti dati puo' avere luogo, altresi', per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonche' in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa eurounitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
Il medesimo trattamento puo' inoltre essere effettuato per l'esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia, salvo quanto previsto dall'art. 60 del codice, come novellato dal decreto legislativo n. 101/2018.
Per i fini predetti, il trattamento dei dati di cui sopra puo' riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa di enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunita' religiose nonche' per l'adempimento di obblighi fiscali ovvero per la diffusione di riviste, bollettini e simili.
Qualora i soggetti indicati al punto 2.1 si avvalgano di persone giuridiche o di altri organismi con scopo di lucro o di liberi professionisti per perseguire le predette finalita', ovvero richiedano ad essi la fornitura di beni, prestazioni o servizi, gli stessi possono effettuare il trattamento dei dati in questione.
I soggetti di cui al predetto punto 2.1 possono comunicare alle persone giuridiche e agli organismi con scopo di lucro sopra indicati (qualora questi ultimi si configurino quali titolari di un autonomo trattamento) i soli dati particolari strettamente indispensabili per le attivita' di effettivo ausilio alle predette finalita', con particolare riferimento alle generalita' degli interessati e a indirizzari, sulla base di un atto scritto che individui con precisione le informazioni comunicate, le modalita' del successivo utilizzo e le particolari misure di sicurezza adottate. L'informativa da rendere agli interessati deve porre tale circostanza in particolare evidenza e deve recare la precisa menzione dei titolari del trattamento e delle finalita' da essi perseguite. Le persone giuridiche e gli organismi con scopo di lucro possono trattare i dati cosi' acquisiti solo per scopi di ausilio alle finalita' predette, ovvero per scopi amministrativi e contabili. 2.4 Prescrizioni specifiche.
I dati personali riferiti agli associati/aderenti possono essere comunicati agli altri associati/aderenti anche in assenza del consenso degli interessati, a condizione che la predetta comunicazione sia prevista - nell'ambito dell'autonomia privata rimessa a ciascun ente - dall'atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalita' di utilizzo dei dati siano rese note agli interessati in sede di rilascio dell'informativa ai sensi dell'art. 13 del regolamento (UE) 2016/679.
In ogni caso, tenendo conto del rispetto dei principi di necessita', finalita' e minimizzazione e dell'eventuale regolamentazione interna all'ente, laddove vengano in considerazione profili esclusivamente personali riferiti agli associati/aderenti, devono essere utilizzate forme di consultazione individualizzata con gli stessi, adottando ogni misura opportuna volta a prevenire un'indebita comunicazione di dati personali a soggetti diversi dal destinatario.
La comunicazione dei dati personali relativi agli associati/aderenti all'esterno dell'ente e la loro diffusione possono essere effettuate con il consenso degli interessati, previa informativa agli stessi in ordine alla tipologia di destinatari e alle finalita' della trasmissione e purche' i dati siano strettamente pertinenti alle finalita' ed agli scopi perseguiti.
I dati particolari possono essere comunicati alle autorita' competenti per finalita' di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia. 3. Prescrizioni relative al trattamento di categorie particolari di
dati da parte degli investigatori privati (aut. gen. n. 6/2016). 3.1 Ambito di applicazione.
Le presenti prescrizioni sono dirette alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli organismi che esercitano un'attivita' di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni). 3.2 Finalita' del trattamento.
Il trattamento delle categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del regolamento (UE) 2016/679 puo' essere effettuato unicamente per l'espletamento dell'incarico ricevuto dai soggetti di cui al punto 3.1 e in particolare:
a) per permettere a chi conferisce uno specifico incarico, di fare accertare, esercitare o difendere un proprio diritto in sede giudiziaria che, quando concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, deve essere di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero consistere in un diritto della personalita' o in un altro diritto o liberta' fondamentale;
b) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell'esercizio del diritto alla prova (art. 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397). 3.3 Prescrizioni specifiche.
Gli investigatori privati non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di dati. Tali attivita' possono essere eseguite esclusivamente sulla base di un apposito incarico conferito per iscritto, anche da un difensore, per le esclusive finalita' di cui al punto 3.2.
L'atto di incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l'investigazione e' collegata, nonche' i principali elementi di fatto che giustificano l'investigazione e il termine ragionevole entro cui questa deve essere conclusa.
Deve essere fornita all'interessato l'informativa di cui agli articoli 13 e 14 del regolamento (UE) 2016/679, salvo, nel caso in cui i dati personali non siano stati ottenuti presso l'interessato, che questa rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' di tale trattamento.
Il difensore o il soggetto che ha conferito l'incarico devono essere informati periodicamente dell'andamento dell'investigazione.
L'investigatore privato deve eseguire personalmente l'incarico ricevuto e non puo' avvalersi di altri investigatori non indicati nominativamente all'atto del conferimento dell'incarico, oppure successivamente in calce a esso qualora tale possibilita' sia stata prevista nell'atto di incarico.
Una volta conclusa la specifica attivita' investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l'immediata comunicazione al difensore o al soggetto che ha conferito l'incarico i quali possono consentire, anche in sede di mandato, l'eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l'attivita' svolta, ai soli fini dell'eventuale dimostrazione della liceita' e correttezza del proprio operato. Se e' stato contestato il trattamento il difensore o il soggetto che ha conferito l'incarico possono anche fornire all'investigatore il materiale necessario per dimostrare la liceita' e correttezza del proprio operato, per il tempo a cio' strettamente necessario.
La sola pendenza del procedimento al quale l'investigazione e' collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se' stessi, una giustificazione valida per la conservazione dei dati da parte dell'investigatore privato.
I dati possono essere comunicati unicamente al soggetto che ha conferito l'incarico.
I dati possono essere comunicati ad un altro investigatore privato solo se questi sia stato indicato nominativamente nell'atto del conferimento dell'incarico, oppure successivamente in calce a esso qualora tale possibilita' sia stata prevista nell'atto di incarico, e la comunicazione sia necessaria per lo svolgimento dei compiti affidati.
I dati genetici, biometrici e relativi alla salute possono essere comunicati alle autorita' competenti solo per finalita' di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia.
Fermo restando quanto previsto dall'art. 2-septies, comma 8, del codice, i dati relativi alla vita sessuale o all'orientamento sessuale non possono essere diffusi.
Resta fermo, per quanto riguarda il trattamento dei dati genetici, quanto previsto dalle relative prescrizioni. 4. Prescrizioni relative al trattamento dei dati genetici (aut. gen. n. 8/2016). 4.1 Definizioni.
Ai fini del presente provvedimento si intende per:
a) dati genetici, i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;
b) campione biologico, ogni campione di materiale biologico da cui possono essere estratti dati genetici caratteristici di un individuo;
c) test genetico, l'analisi a scopo clinico di uno specifico gene o del suo prodotto o funzione o di altre parti del DNA o di un cromosoma, volta a effettuare una diagnosi o a confermare un sospetto clinico in un individuo affetto (test diagnostico), oppure a individuare o escludere la presenza di una mutazione associata ad una malattia genetica che possa svilupparsi in un individuo non affetto (test presintomatico) o, ancora, a valutare la maggiore o minore suscettibilita' di un individuo a sviluppare malattie multifattoriali (test predittivo o di suscettibilita');
d) test farmacogenetico, il test genetico finalizzato all'identificazione di specifiche variazioni nella sequenza del DNA in grado di predire la risposta «individuale» a farmaci in termini di efficacia e di rischio relativo di eventi avversi;
e) test farmacogenomico, il test genetico finalizzato allo studio globale delle variazioni del genoma o dei suoi prodotti correlate alla scoperta di nuovi farmaci e all'ulteriore caratterizzazione dei farmaci autorizzati al commercio;
f) test sulla variabilita' individuale, i test genetici che comprendono: il test di parentela volto alla definizione dei rapporti di parentela; il test ancestrale volto a stabilire i rapporti di una persona nei confronti di un antenato o di una determinata popolazione o quanto del suo genoma sia stato ereditato dagli antenati appartenenti a una particolare area geografica o gruppo etnico; il test di identificazione genetica volto a determinare la probabilita' con la quale un campione o una traccia di DNA recuperato da un oggetto o altro materiale appartenga a una determinata persona;
g) screening genetico, il test genetico effettuato su popolazioni o su gruppi definiti, comprese le analisi familiari finalizzate a identificare - mediante «screening a cascata» - le persone potenzialmente a rischio di sviluppare la malattia genetica, al fine di delinearne le caratteristiche genetiche comuni o di identificare precocemente soggetti affetti o portatori di patologie genetiche o di altre caratteristiche ereditarie;
h) consulenza genetica, le attivita' di comunicazione volte ad aiutare l'individuo o la famiglia colpita da patologia genetica a comprendere le informazioni mediche che includono la diagnosi e il probabile decorso della malattia, le forme di assistenza disponibili, il contributo dell'ereditarieta' al verificarsi della malattia, il rischio di ricorrenza esistente per se' e per altri familiari e l'opportunita' di portarne a conoscenza questi ultimi, nonche' tutte le opzioni esistenti nell'affrontare il rischio di malattia e l'impatto che tale rischio puo' avere su scelte procreative; nell'esecuzione di test genetici tale consulenza comprende inoltre informazioni sul significato, i limiti, l'attendibilita' e la specificita' del test nonche' le implicazioni dei risultati; a tale processo partecipano, oltre al medico e/o al biologo specialisti in genetica medica, altre figure professionali competenti nella gestione delle problematiche psicologiche e sociali connesse alla genetica;
i) informazione genetica, le attivita' volte a fornire informazioni riguardanti le specifiche caratteristiche degli screening genetici. 4.2 Prescrizioni specifiche.
Per la custodia e la sicurezza dei dati genetici e dei campioni biologici sono adottate, in ogni caso, le seguenti cautele:
a) l'accesso ai locali deve avvenire secondo una documentata procedura prestabilita dal titolare del trattamento, che preveda l'identificazione delle persone, preventivamente autorizzate, che accedono a qualunque titolo dopo l'orario di chiusura. Tali controlli possono essere effettuati anche con strumenti elettronici. E' ammesso l'utilizzo dei dati biometrici con riguardo alle richiamate procedure di accesso fisico, nel rispetto dei principi in materia di protezione dei dati personali e dei requisiti specifici del trattamento di cui all'art. 9 del regolamento;
b) la conservazione, l'utilizzo e il trasporto dei campioni biologici sono posti in essere con modalita' volte anche a garantirne la qualita', l'integrita', la disponibilita' e la tracciabilita';
c) il trasferimento dei dati genetici, con sistemi di messaggistica elettronica ivi compresa la posta, e' effettuato con le seguenti cautele: trasmissione dei dati in forma di allegato e non come testo compreso nel corpo del messaggio; cifratura dei dati avendo cura di rendere nota al destinatario la chiave crittografica tramite canali di comunicazione differenti da quelli utilizzati per la trasmissione dei dati; ricorso a canali di comunicazione protetti, tenendo conto dello stato dell'arte della tecnologia utilizzata; protezione dell'allegato con modalita' idonee a impedire l'illecita o fortuita acquisizione dei dati trasmessi, come una password per l´apertura del file resa nota al destinatario tramite canali di comunicazione differenti da quelli utilizzati per la trasmissione dei dati. E' ammesso il ricorso a canali di comunicazione di tipo «web application» che prevedano l'utilizzo di canali di trasmissione protetti, tenendo conto dello stato dell'arte della tecnologia, e garantiscano, previa verifica, l'identita' digitale del server che eroga il servizio e della postazione client da cui si effettua l'accesso ai dati, ricorrendo a certificati digitali emessi in conformita' alla legge da un'autorita' di certificazione;
d) la consultazione dei dati genetici trattati con strumenti elettronici e' consentita previa adozione di sistemi di autenticazione basati sull'uso combinato di informazioni note ai soggetti all'uopo designati e di dispositivi, anche biometrici, in loro possesso;
e) i dati genetici e i campioni biologici contenuti in elenchi, registri o banche di dati, sono trattati con tecniche di cifratura o di pseudonimizzazione o di altre soluzioni che, considerato il volume dei dati e dei campioni trattati, li rendano temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessita', in modo da ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato. Laddove gli elenchi, i registri o le banche di dati siano tenuti con strumenti elettronici e contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati, le predette tecniche devono consentire, altresi', il trattamento disgiunto dei dati genetici e relativi alla salute dagli altri dati personali che permettono di identificare direttamente le persone interessate. 4.3 Informazioni agli interessati.
Le informazioni da rendere agli interessati ai sensi degli articoli 13 e 14 del regolamento (UE) 2016/679 e anche ai sensi degli articoli 77 e 78 del codice per il medico di medicina generale e per il pediatra di libera scelta, evidenziano, altresi':
a) i risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici;
b) la facolta' o meno, per l'interessato, di limitare l'ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici, nonche' l'eventuale utilizzo di tali dati per ulteriori scopi.
Dopo il raggiungimento della maggiore eta', le informazioni sul trattamento di dati personali sono fornite all'interessato anche ai fini dell'acquisizione di una nuova manifestazione del consenso (con. 38, 58, e articoli 5 e 8 del regolamento (UE) 2016/679 e art. 82, comma 4, del codice). 4.4 Consulenza genetica e attivita' di informazione.
In relazione ai trattamenti effettuati mediante test genetici per finalita' di tutela della salute o di ricongiungimento familiare e' fornita all'interessato una consulenza genetica prima e dopo lo svolgimento dell'analisi. Prima dell'introduzione di screening genetici finalizzati alla tutela della salute da parte di organismi sanitari sono adottate idonee misure per garantire un'attivita' di informazione al pubblico in merito alla disponibilita' e alla volontarieta' dei test effettuati, alle specifiche finalita' e conseguenze, anche nell'ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica.
Il consulente genetista aiuta i soggetti interessati a prendere in piena autonomia le decisioni ritenute piu' adeguate, tenuto conto del rischio genetico, delle aspirazioni familiari e dei loro principi etico-religiosi, aiutandoli ad agire coerentemente con le scelte compiute, nonche' a realizzare il miglior adattamento possibile alla malattia e/o al rischio di ricorrenza della malattia stessa.
Nei casi in cui il test sulla variabilita' individuale e' volto ad accertare la paternita' o la maternita' gli interessati sono, altresi', informati circa la normativa in materia di filiazione, ponendo in evidenza le eventuali conseguenze psicologiche e sociali dell'esame.
L'attuazione di ricerche scientifiche su isolati di popolazione e' preceduta da un'attivita' di informazione presso le comunita' interessate, anche mediante adeguati mezzi di comunicazione e presentazioni pubbliche, volta ad illustrare la natura della ricerca, le finalita' perseguite, le modalita' di attuazione, le fonti di finanziamento e i rischi o benefici attesi per le popolazioni coinvolte. L'attivita' di informazione evidenzia anche gli eventuali rischi di discriminazione o stigmatizzazione delle comunita' interessate, nonche' quelli inerenti alla conoscibilita' di inattesi rapporti di consanguineita' e le azioni intraprese per ridurre al minimo tali rischi. 4.5 Consenso.
Il consenso al trattamento dei dati genetici e' necessario per:
1. finalita' di tutela della salute di un soggetto terzo secondo quanto previsto al successivo punto 4.7;
2. lo svolgimento di test genetici nell'ambito delle investigazioni difensive o per l'esercizio di un diritto in sede giudiziaria, salvo che un'espressa disposizione di legge, o un provvedimento dell'autorita' giudiziaria in conformita' alla legge, disponga altrimenti (cfr. infra punto 4.9);
3. i trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca o di ricongiungimento familiare. In questi casi, all'interessato e' richiesto di dichiarare se vuole conoscere o meno i risultati dell'esame o della ricerca, comprese eventuali notizie inattese che lo riguardano, qualora queste ultime rappresentino per l'interessato un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive (cfr. infra punto 4.10);
4. finalita' di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all'art. 9 del regolamento (cfr. infra punto 4.11). 4.5.1 Modalita' di raccolta e revoca del consenso.
Per le informazioni relative ai nascituri il consenso e' validamente prestato dalla gestante. Nel caso in cui il trattamento effettuato mediante test prenatale possa rivelare anche dati genetici relativi alla futura insorgenza di una patologia del padre, e' previamente acquisito anche il consenso di quest'ultimo.
L'opinione del minore, nella misura in cui lo consente la sua eta' e il suo grado di maturita', e', ove possibile, presa in considerazione, restando preminente in ogni caso l'interesse del minore. Negli altri casi di incapacita', il trattamento e' consentito se le finalita' perseguite comportano un beneficio diretto per l'interessato e la sua opinione e', ove possibile, presa in considerazione, restando preminente in ogni caso l'interesse dell'incapace.
In caso di revoca del consenso da parte dell'interessato, i trattamenti devono cessare e i dati devono essere cancellati o resi anonimi anche attraverso la distruzione del campione biologico prelevato. 4.6 Comunicazione e diffusione dei dati.
Ferme restando le norme generali che disciplinano la comunicazione e la diffusione delle particolari categorie di dati, ivi compresi i dati genetici, tali operazioni di trattamento possono essere svolte nel rispetto delle seguenti prescrizioni (art. 9 del regolamento UE 2016/679 e art. 2-sexies del codice).
Fatta eccezione per i dati personali forniti in precedenza dal medesimo interessato, i dati genetici devono essere resi noti all'interessato o ai soggetti di cui all'art. 82, comma 2, lettera a), del codice da parte di esercenti le professioni sanitarie ed organismi sanitari solo per il tramite di un medico designato dall'interessato o dal titolare.
Il titolare o il responsabile del trattamento possono autorizzare per iscritto gli esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono designati a trattare dati genetici o campioni biologici, a rendere noti i medesimi dati all'interessato o ai soggetti di cui all'art. 82, comma 2, lettera a), del codice. Nelle istruzioni alle persone autorizzate al trattamento dei dati sono individuate appropriate modalita' e cautele rapportate al contesto nel quale e' effettuato il trattamento di dati.
I dati genetici devono essere resi noti, di regola, direttamente all'interessato o a persone diverse dal diretto interessato solo sulla base di una delega scritta di quest'ultimo, adottando ogni mezzo idoneo a prevenire la conoscenza non autorizzata da parte di soggetti anche compresenti. La comunicazione nelle mani di un delegato dell'interessato e' eseguita in plico chiuso.
Gli esiti di test e di screening genetici, nonche' i risultati delle ricerche qualora comportino per l'interessato un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, devono essere comunicati al medesimo interessato anche nel rispetto della sua dichiarazione di volonta' di conoscere o meno tali eventi e, ove necessario, unitamente a un'appropriata consulenza genetica.
Gli esiti di test e di screening genetici, nonche' i risultati delle ricerche, qualora comportino un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, anche per gli appartenenti alla stessa linea genetica dell'interessato, possono essere comunicati a questi ultimi, su loro richiesta, qualora l'interessato vi abbia espressamente acconsentito oppure qualora tali risultati siano indispensabili per evitare un pregiudizio per la loro salute, ivi compreso il rischio riproduttivo, e il consenso dell'interessato non sia prestato o non possa essere prestato per effettiva irreperibilita'.
In caso di ricerche condotte su gruppi di popolazione o popolazioni isolate, devono essere resi noti alle comunita' interessate e alle autorita' locali gli eventuali risultati della ricerca che rivestono un'importanza terapeutica o preventiva per la tutela della salute delle persone appartenenti a tali comunita'. 4.7 Tutela della salute di un soggetto terzo.
Ferme restando le specifiche condizioni in ambito sanitario previste dall'art. 75 del codice, il trattamento di dati genetici per finalita' di tutela della salute di un soggetto terzo puo' essere effettuato se questi appartiene alla medesima linea genetica dell'interessato e con il consenso di quest'ultimo.
Nel caso in cui il consenso dell'interessato non sia prestato o non possa essere prestato per impossibilita' fisica, per incapacita' di agire o per incapacita' d'intendere o di volere, nonche' per effettiva irreperibilita', il trattamento puo' essere effettuato limitatamente ai dati genetici disponibili qualora sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla necessita', per il terzo, di interventi di natura preventiva o terapeutica. Nel caso in cui l'interessato sia deceduto, il trattamento puo' comprendere anche dati genetici estrapolati dall'analisi dei campioni biologici della persona deceduta, sempre che sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla necessita', per il terzo, di interventi di natura preventiva o terapeutica (cons. 27 del regolamento UE 2016/679). 4.8 Test presintomatici.
Il trattamento di dati genetici e l'utilizzo di campioni biologici per l'esecuzione di test presintomatici e di suscettibilita' possono essere effettuati esclusivamente per il perseguimento di finalita' di tutela della salute, anche per compiere scelte riproduttive consapevoli e per scopi di ricerca finalizzata alla tutela della salute.
I trattamenti di dati connessi all'esecuzione di test genetici presintomatici possono essere effettuati sui minori non affetti, ma a rischio per patologie genetiche solo nel caso in cui esistano concrete possibilita' di terapie o di trattamenti preventivi da applicare prima del raggiungimento della maggiore eta'. I test sulla variabilita' individuale non possono essere condotti su minori senza che venga acquisito il consenso di ambedue i genitori, ove esercitano entrambi la potesta' sul minore. 4.9 Trattamento di dati genetici per lo svolgimento di investigazioni
difensive ai sensi della legge 7 dicembre 2000, n. 397.
Il trattamento di dati genetici finalizzato allo svolgimento di investigazioni difensive ai sensi della legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti, di consulenti tecnici e investigatori privati autorizzati, o, comunque, a far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, deve essere effettuato con il consenso dell'interessato solo nel caso in cui presupponga lo svolgimento di test genetici.
Il consenso informato e' richiesto alla persona cui appartiene il materiale biologico necessario all'indagine, salvo che un'espressa disposizione di legge, o un provvedimento dell'autorita' giudiziaria in conformita' alla legge, disponga altrimenti.
Cio', sempre che il diritto da far valere o difendere sia di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalita' o in un altro diritto o liberta' fondamentale e inviolabile e i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento (art. 60 del codice). 4.10 Trattamento di dati genetici per finalita' di ricongiungimento
familiare e vincoli di consanguineita'.
Gli organismi internazionali ritenuti idonei dal Ministero degli affari esteri e della cooperazione internazionale e le rappresentanze diplomatiche o consolari ai fini del rilascio delle certificazioni (allo stato disciplinate dall´art. 52 del decreto legislativo 3 febbraio 2011, n. 71) possono trattare dati genetici per consentire il ricongiungimento familiare limitatamente ai casi in cui l'interessato non possa documentare in modo certo i suoi vincoli di consanguineita' mediante certificati o attestazioni rilasciati da competenti autorita' straniere, in ragione della mancanza di un'autorita' riconosciuta o comunque quando sussistano fondati dubbi sulla autenticita' della predetta documentazione (cfr. anche decreto legislativo 25 luglio 1998, n. 286).
In ipotesi di realizzazione di test o screening genetici per finalita' di ricongiungimento familiare e' necessario acquisire il consenso degli interessati; agli interessati e' richiesto di dichiarare se vogliono conoscere o meno i risultati dell'esame, comprese eventuali notizie inattese che li riguardano, qualora queste ultime rappresentino per gli interessati un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive.
I dati genetici raccolti a fini di ricongiungimento familiare possono essere comunicati unicamente alle rappresentanze diplomatiche o consolari competenti all'esame della documentazione prodotta dall'interessato o all'organismo internazionale ritenuto idoneo dal Ministero degli affari esteri e della cooperazione internazionale cui l'interessato si sia rivolto. I campioni biologici prelevati ai medesimi fini possono essere trasferiti unicamente al laboratorio designato per l'effettuazione del test sulla variabilita' individuale o all'organismo internazionale ritenuto idoneo dal Ministero degli affari esteri e della cooperazione internazionale. 4.11 Trattamento di dati genetici per finalita' di ricerca
scientifica e statistica.
Il trattamento di dati genetici e campioni biologici per finalita' di ricerca scientifica e statistica, e' consentito solo se volto alla tutela della salute dell'interessato, di terzi o della collettivita' in campo medico, biomedico ed epidemiologico, anche nell'ambito della sperimentazione clinica o ricerca scientifica volta a sviluppare le tecniche di analisi genetica.
Il trattamento deve essere svolto sulla base di un progetto redatto conformemente agli standard del pertinente settore disciplinare, anche al fine di documentare che il trattamento dei dati e l'utilizzo dei campioni biologici sia effettuato per idonei ed effettivi scopi scientifici.
Il progetto specifica le misure da adottare nel trattamento dei dati personali per garantire il rispetto del presente provvedimento, nonche' della normativa sulla protezione dei dati personali, anche per i profili riguardanti la custodia e la sicurezza dei dati e dei campioni biologici, e individua gli eventuali responsabili del trattamento (art. 28 del regolamento UE 2016/679). In particolare, laddove la ricerca preveda il prelievo e/o l'utilizzo di campioni biologici, il progetto indica l'origine, la natura e le modalita' di prelievo e di conservazione dei campioni, nonche' le misure adottate per garantire la volontarieta' del conferimento del materiale biologico da parte dell'interessato.
Il progetto e' conservato in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell'applicazione della normativa in materia di protezione dei dati personali) per cinque anni dalla conclusione programmata della ricerca.
Quando le finalita' della ricerca possono essere realizzate soltanto tramite l'identificazione anche temporanea degli interessati, il titolare del trattamento adotta specifiche misure per mantenere separati i dati identificativi dai campioni biologici e dalle informazioni genetiche gia' al momento della raccolta, salvo che cio' risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato. 4.11.1 Informazioni agli interessati.
In relazione ai trattamenti effettuati per scopi di ricerca scientifica e statistica, nelle informazioni fornite agli interessati si evidenziano, altresi':
a) gli accorgimenti adottati per consentire l'identificazione degli interessati soltanto per il tempo necessario agli scopi della raccolta o del successivo trattamento (art. 25 del regolamento UE 2016/679);
b) le modalita' con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca.
I trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca necessitano del consenso degli interessati; in questi casi agli interessati e' richiesto di dichiarare se vogliono conoscere o meno i risultati della ricerca, comprese eventuali notizie inattese che li riguardano, qualora queste ultime rappresentino per gli interessati un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive. 4.11.2 Consenso.
Fermo quanto previsto al punto 4.5, i dati genetici e i campioni biologici di persone che non possono fornire il proprio consenso per incapacita', possono essere trattati per finalita' di ricerca scientifica che non comportino un beneficio diretto per i medesimi interessati qualora ricorrano contemporaneamente le seguenti condizioni:
a) la ricerca e' finalizzata al miglioramento della salute di altre persone appartenenti allo stesso gruppo d'eta' o che soffrono della stessa patologia o che si trovano nelle stesse condizioni e il programma di ricerca e' oggetto di motivato parere favorevole del competente comitato etico a livello territoriale;
b) una ricerca di analoga finalita' non puo' essere realizzata mediante il trattamento di dati riferiti a persone che possono prestare il proprio consenso;
c) il consenso al trattamento e' acquisito da chi esercita legalmente la potesta', ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato;
d) la ricerca non comporta rischi significativi per la dignita', i diritti e le liberta' fondamentali degli interessati.
In tali casi, resta fermo quanto sopra previsto in ordine all'esigenza di tenere in considerazione, ove possibile, l'opinione del minore o dell'incapace.
Nel caso in cui l'interessato revochi il consenso al trattamento dei dati per scopi di ricerca, e' distrutto anche il campione biologico sempre che sia stato prelevato per tali scopi, salvo che, in origine o a seguito di trattamento, il campione non possa piu' essere riferito ad una persona identificata o identificabile. 4.11.3 Conservazione a fini di ricerca e ulteriore trattamento.
In assenza del consenso degli interessati, i campioni biologici prelevati e i dati genetici raccolti per scopi di tutela della salute possono essere conservati e utilizzati per finalita' di ricerca scientifica o statistica nei seguenti casi:
a) indagini statistiche o ricerche scientifiche previste dal diritto dell'Unione europea, dalla legge o, nei casi previsti dalla legge, da regolamento;
b) limitatamente al perseguimento di ulteriori scopi scientifici e statistici direttamente collegati con quelli per i quali e' stato originariamente acquisito il consenso informato degli interessati.
Quando a causa di particolari ragioni non e' possibile informare gli interessati malgrado sia stato compiuto ogni ragionevole sforzo per raggiungerli, la conservazione e l'ulteriore utilizzo di campioni biologici e di dati genetici raccolti per la realizzazione di progetti di ricerca e indagini statistiche, diversi da quelli originari, sono consentiti se una ricerca di analoga finalita' non puo' essere realizzata mediante il trattamento di dati riferiti a persone dalle quali puo' essere o e' stato acquisito il consenso informato e:
aa) il programma di ricerca comporta l'utilizzo di campioni biologici e di dati genetici che in origine non consentono di identificare gli interessati, ovvero che, a seguito di trattamento, non consentono di identificare i medesimi interessati e non risulta che questi ultimi abbiano in precedenza fornito indicazioni contrarie;
bb) ovvero il programma di ricerca, preventivamente oggetto di motivato parere favorevole del competente comitato etico a livello territoriale, e' sottoposto a preventiva consultazione del Garante ai sensi dell'art. 36 del regolamento (UE) 2016/679. 4.11.4 Comunicazione e diffusione dei dati.
I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti a enti e istituti di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalita' di ricerca, nell'ambito di progetti congiunti e nel rispetto dell'art. 26 del regolamento.
I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti ai soggetti sopra indicati, qualora siano autonomi titolari del trattamento, limitatamente alle informazioni prive di dati identificativi, per scopi scientifici direttamente collegati a quelli per i quali sono stati originariamente raccolti e chiaramente determinati per iscritto nella richiesta dei dati e/o dei campioni. In tal caso, il soggetto richiedente si impegna a non trattare i dati e/o utilizzare i campioni per fini diversi da quelli indicati nella richiesta e a non comunicarli o trasferirli ulteriormente a terzi. 5. Prescrizioni relative al trattamento dei dati personali effettuato
per scopi di ricerca scientifica (aut. gen. n. 9/2016). 5.1 Ambito di applicazione.
Le presenti prescrizioni concernono il trattamento effettuato da:
a) universita', altri enti o istituti di ricerca e societa' scientifiche, nonche' ricercatori che operano nell'ambito di dette universita', enti, istituti di ricerca e ai soci di dette societa' scientifiche;
b) esercenti le professioni sanitarie e gli organismi sanitari;
c) persone fisiche o giuridiche, enti, associazioni e organismi privati, nonche' soggetti specificatamente preposti al trattamento quali designati o responsabili del trattamento (ricercatori, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.) (art. 2-quaterdecies del codice; art. 28 del regolamento UE 2016/679). 5.2 Tipologie di ricerche.
Le seguenti prescrizioni concernono il trattamento di dati personali per finalita' di ricerca medica, biomedica ed epidemiologica effettuati quando:
il trattamento e' necessario per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l'esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalita' di tutela della salute o per l'esecuzione di precedenti progetti di ricerca oppure,
il trattamento e' necessario per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravita' del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell'informativa e di prestare validamente il consenso.
In questi casi la ricerca deve essere effettuata sulla base di un progetto, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale. 5.3 Consenso.
Il consenso dell'interessato non e' necessario quando la ricerca e' effettuata in base a disposizioni di legge o di regolamento o al diritto dell'Unione europea.
Negli altri casi, quando non e' possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' della ricerca, tra le quali in particolare:
1. i motivi etici riconducibili alla circostanza che l'interessato ignora la propria condizione. Rientrano in questa categoria le ricerche per le quali l'informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi (possono rientrare in questa ipotesi, ad esempio, gli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il quale non esista un trattamento);
2. i motivi di impossibilita' organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non e' possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; cio' avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalita' di arruolamento, alla numerosita' statistica del campione prescelto, nonche' al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo studio riguarda interessati con patologie ad elevata incidenza di mortalita' o in fase terminale della malattia o in eta' avanzata e in gravi condizioni di salute).
Con riferimento a tali motivi di impossibilita' organizzativa, le seguenti prescrizioni concernono anche il trattamento dei dati di coloro i quali, all'esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l'impiego dei recapiti telefonici eventualmente forniti, nonche' l'acquisizione dei dati di contatto presso l'anagrafe degli assistiti o della popolazione residente) risultino essere al momento dell'arruolamento nello studio:
deceduti o
non contattabili.
Resta fermo l'obbligo di rendere l'informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, cio' sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo, anche al fine di consentire loro di esercitare i diritti previsti dal regolamento;
3. motivi di salute riconducibili alla gravita' dello stato clinico in cui versa l'interessato a causa del quale questi e' impossibilitato a comprendere le indicazioni rese nell'informativa e a prestare validamente il consenso. In tali casi, lo studio deve essere volto al miglioramento dello stesso stato clinico in cui versa l'interessato. Inoltre, occorre comprovare che le finalita' dello studio non possano essere conseguite mediante il trattamento di dati riferiti a persone in grado di comprendere le indicazioni rese nell'informativa e di prestare validamente il consenso o con altre metodologie di ricerca. Cio', avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalita' di arruolamento, alla numerosita' statistica del campione prescelto, nonche' all'attendibilita' dei risultati conseguibili in relazione alle specifiche finalita' dello studio. Con riferimento a tali motivi, deve essere acquisito il consenso delle persone indicate nell´art. 82, comma 2, lettera a), del codice come modificato dal decreto legislativo n. 101/2018. Cio', fermo restando che sia resa all'interessato l'informativa sul trattamento dei dati non appena le condizioni di salute glielo consentano, anche al fine dell'esercizio dei diritti previsti dal regolamento. 5.4 Modalita' di trattamento.
Ove la ricerca non possa raggiungere i suoi scopi senza l'identificazione, anche temporanea, degli interessati, nel trattamento successivo alla raccolta retrospettiva dei dati, sono adottate tecniche di cifratura o di pseudonimizzazione oppure altre soluzioni che, considerato il volume dei dati trattati, la natura, l'oggetto, il contesto e le finalita' del trattamento, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di necessita'. In questi casi, i codici utilizzati non sono desumibili dai dati personali identificativi degli interessati, salvo che cio' risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato e sia motivato, altresi', per iscritto, nel progetto di ricerca.
L'abbinamento al materiale di ricerca dei dati identificativi dell'interessato, sempre che sia temporaneo ed essenziale per il risultato della ricerca, e' motivato, inoltre, per iscritto.
In applicazione del principio di minimizzazione, il trattamento di dati personali per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico puo' riguardare i dati relativi alla salute degli interessati e, solo ove indispensabili per il raggiungimento delle finalita' della ricerca, congiuntamente anche i dati relativi alla vita sessuale o all'orientamento sessuale, nonche' all'origine razziale ed etnica (art. 5, paragrafo 1, lettera c), del regolamento UE 2016/679). 5.5 Comunicazione e diffusione.
I soggetti che agiscono in qualita' di titolari del trattamento per le finalita' in esame, anche unitamente ad altri titolari, possono comunicare tra loro i dati personali oggetto della presente autorizzazione nella misura in cui rivestano il ruolo di promotore, di centro coordinatore o di centro partecipante e l'operazione di comunicazione sia indispensabile per la conduzione dello studio.
In aggiunta al divieto di diffusione dei dati relativi alla salute degli interessati (art. 2-septies del codice), non possono essere diffusi anche quelli relativi alla vita sessuale, all'orientamento sessuale e all'origine razziale ed etnica utilizzati per la conduzione dello studio. 5.6 Conservazione dei dati e dei campioni.
I dati e i campioni biologici utilizzati per l'esecuzione della ricerca sono conservati mediante tecniche di cifratura o l'utilizzazione di codici identificativi oppure di altre soluzioni che, considerato il numero dei dati e dei campioni conservati, non li rendono direttamente riconducibili agli interessati, per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
A tal fine, e' indicato nel progetto di ricerca il periodo di conservazione, successivo alla conclusione dello studio, al termine del quale i predetti dati e campioni sono anonimizzati. 5.7 Custodia e sicurezza.
Fermo restando l'obbligo di adottare le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, sono impiegati dal/i titolare/i del trattamento, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilita', specifiche misure e accorgimenti tecnici per incrementare il livello di sicurezza dei dati trattati per l'esecuzione dello studio.
Cio' sia nella fase di memorizzazione o archiviazione dei dati (e, eventualmente, di raccolta e conservazione dei campioni biologici), sia nella fase successiva di elaborazione delle medesime informazioni, nonche' nella successiva fase di trasmissione dei dati al promotore o ai soggetti esterni che collaborano con il primo per l'esecuzione dello studio. Sono adottati, in particolare:
a. accorgimenti adeguati a garantire la qualita' dei dati e la corretta attribuzione agli interessati;
b. idonei accorgimenti per garantire la protezione dei dati dello studio dai rischi di accesso abusivo ai dati, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure che rendano inintelligibili i dati ai soggetti non legittimati) nelle operazioni di registrazione e archiviazione dei dati;
c. canali di trasmissione protetti, tenendo conto dello stato dell'arte della tecnologia, nei casi in cui si renda necessaria la comunicazione dei dati raccolti nell'ambito dello studio a una banca dati centralizzata dove sono memorizzati e archiviati oppure ad un promotore o a soggetti esterni di cui lo stesso promotore si avvale per la conduzione dello studio. Laddove detta trasmissione sia effettuata mediante supporto ottico (CD-ROM) e' designato uno specifico incaricato della ricezione presso il promotore ed e' utilizzato, per la condivisione della chiave di cifratura dei dati, un canale di trasmissione differente da quello utilizzato per la trasmissione del contenuto;
d. tecniche di etichettatura, nella conservazione e nella trasmissione di campioni biologici, mediante codici identificativi, oppure altre soluzioni che, considerato il numero di campioni utilizzati, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di necessita';
e. con specifico riferimento alle operazioni di elaborazione dei dati dello studio memorizzati in una banca dati centralizzata, e' necessario adottare:
idonei sistemi di autenticazione e di autorizzazione per il personale preposto al trattamento in funzione dei ruoli ricoperti e delle esigenze di accesso e trattamento, avendo cura di utilizzare credenziali di validita' limitata alla durata dello studio e di disattivarle al termine dello stesso;
procedure per la verifica periodica della qualita' e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati ai soggetti designati al trattamento;
sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.