TUTELA DELLA PRIVACY -
TRATTAMENTO DEI DATI “SENSIBILI” NEI RAPPORTI DI LAVORO CON DIPENDENTI, CLIENTI
E FORNITORI - PROCEDURE
La
legge n. 675/96, recante "Tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali" ha come finalità quella di
garantire che il trattamento dei dati personali si svolga nel rispetto dei
diritti, delle libertà fondamentali, nonché della dignità delle persone
fisiche, garantendo altresì i diritti delle persone giuridiche e di ogni altro
ente o associazione.
La
legge dà prescrizioni per quanto riguarda la raccolta dei dati personali
subordinandone il trattamento, la comunicazione e la diffusione, come regola
generale, al consenso espresso dall'interessato.
Le
fattispecie più usuali di raccolta di dati di tipo personale nel settore edile
riguardano il rapporto di lavoro subordinato e quello relativo a clienti e
fornitori.
Una
disciplina più rigorosa è prevista per i dati "sensibili " quelli
cioè idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche e religiose, come pure lo
stato di salute e la vita sessuale delle persone. Per tali dati la legge
consente l'elaborazione solo dietro consenso scritto dell'interessato e previa
autorizzazione del Garante.
Con
riguardo alle ipotesi di raccolta, gestione e diffusione dei dati personali
riguardanti i lavoratori, il Garante ha emanato un atteso provvedimento che
permette ai datori di lavoro del settore privato di utilizzare i dati di
carattere sensibile nel rispetto di alcune prescrizioni.
In
base a tale provvedimento vengono esonerati dall'obbligo della richiesta di
autorizzazione al Garante i datori di lavoro che, per obblighi di legge, devono
trattare i dati dei propri dipendenti sotto precisati.
Tale
esonero è subordinato al fatto che il trattamento avvenga nell'ambito e per le
finalità indicate nell'autorizzazione generale. Resta, comunque, la necessità
di ottenere il consenso scritto dell'interessato.
I
dati sensibili dei propri dipendenti che il datore di lavoro è autorizzato a
trattare sono quelli dai quali si possono evincere:
1.
le convinzioni religiose, filosofiche, l'adesione ad Associazioni o
Organizzazioni a
carattere
religioso o filosofico;
2.
le opinioni politiche, l'adesione a Partiti, Sindacati, Associazioni od
Organizzazioni di carattere politico o sindacale, i dati inerenti alle
trattenute per il versamento delle quote di servizio sindacale o delle quote di
iscrizione ad Associazioni, Organizzazioni politiche o sindacali;
3.
lo stato di salute, i dati riferiti a malattie anche professionali, infortuni,
invalidità, infermità, maternità e puerperio, esposizione a fattori di rischio,
all'idoneità psico-fisica a svolgere determinate mansioni, o all'appartenenza a
categorie protette.
L'autorizzazione
generale consente che i dati sensibili sopra indicati possano essere sottoposti
ai seguenti trattamenti:
-
adempiere o esigere l'adempimento di obblighi e di compiti previsti da leggi
(anche comunitarie), regolamenti, contratti collettivi, in materia di
previdenza e assistenza, di igiene e sicurezza del lavoro, fiscale, di tutela
della salute dell'ordine e della sicurezza pubblica;
-
ai fini, in conformità alla legge e per scopi determinati e legittimi, della
tenuta della contabilità o della corresponsione di stipendi, assegni, premi,
altri emolumenti, liberalità o benefici accessori;
-
il perseguimento delle finalità di salvaguardia della vita o dell'incolumità
fisica dell'interessato o di un terzo;
-
far valere o difendere un diritto in sede giudiziaria, anche da parte di un
terzo, sempreché, qualora i dati siano idonei a rilevare lo stato di salute e
la vita sessuale, il diritto da far valere o difendere sia di rango pari a
quello dell'interessato.
Come
sopra detto restano comunque fermi gli obblighi di acquisire il consenso
scritto dell'interessato e di informare l'interessato medesimo, in conformità
di quanto previsto dagli artt. 10 e 22 della Legge 675/1996. Per l'adempimento
dei predetti obblighi possono essere utilizzati gli allegati riportati di
seguito, che possono anche essere riprodotti in un unico documento:
allegato
A - schema n.1): per informare il personale del trattamento dei dati comuni e
sensibili;
allegato
B - schema n.2): per acquisire il consenso dell'interessato al trattamento dei
dati personali.
L'autorizzazione
di cui all'oggetto ha efficacia a decorrere dal 30 novembre 1997 e sino al 30
novembre 1998.
Qualora
alla data del 30 novembre 1997 il trattamento non sia conforme alle prescrizioni
dell'autorizzazione adottata dal Garante (sia in ordine all'ambito di
applicazione che ai dati trattati, alle finalità e modalità del trattamento e
alla conservazione e comunicazione dei dati stessi), il titolare può adeguarsi
ad esse entro il 31 dicembre 1997, sempreché le caratteristiche del trattamento
non permettano un adeguamento entro un termine più breve.
Per
quanto viceversa riguarda gli elenchi relativi a clienti e fornitori la norma
non prevede l'obbligo di effettuare alcuna comunicazione al Garante, ma rimane
l'obbligo, per i dati acquisiti dopo l'entrata in vigore della legge n. 675/96,
di dare agli interessati l'informativa (vedasi allegato B - schema n. 1) e di
acquisire il relativo consenso (vedasi allegato B - schema n. 2).
Il
titolare del trattamento, cioè l'azienda nella persona del legale
rappresentante, ha la possibilità di nominare per iscritto uno o più
responsabili del trattamento. Nel caso ciò non sia ritenuto opportuno, le
incombenze del responsabile, consistenti essenzialmente nell'istruzione e nel
controllo delle attività degli incaricati del trattamento, nonché
nell'adempimento degli eventuali obblighi verso il Garante, ricadono sul
titolare (vedasi schema allegato).
Garante per la protezione
dei dati personali
Autorizzazione n. 1/1997
al trattamento dei dati sensibili
nei rapporti di lavoro
IL GARANTE
VISTA
la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni,
in materia di tutela delle persone e di altri soggetti rispetto al trattamento
dei dati personali;
VISTO,
in particolare, l'articolo 22, comma 1, della citata legge n. 675/1996, il
quale individua come “sensibili” i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni di carattere religioso, filosofico, politico o sindacale, nonché
i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
RILEVATO
che tali dati possono essere trattati da soggetti pubblici solo in presenza di
un'apposita disposizione di legge che specifichi i dati che possono essere
trattati, le operazioni eseguibili e le rilevanti finalità di interesse
pubblico perseguite, senza necessità, pertanto, di un'autorizzazione di questa
Autorità; constatato che i soggetti pubblici possono proseguire fino al 7
maggio 1988 i trattamenti di dati sensibili iniziati prima dell'8 maggio 1997,
previa comunicazione a questo Garante;
CONSIDERATO
che i soggetti privati e gli enti pubblici economici possono trattare tali dati
solo previa autorizzazione di questa Autorità e con il consenso scritto degli
interessati, e che occorre quindi riferire solo a tali soggetti l'ambito di
applicazione delle autorizzazioni, fatta eccezione per il trattamento dei dati
idonei a rivelare lo stato di salute da parte degli organismi sanitari
pubblici, che sarà preso in considerazione con separato provvedimento in
applicazione dell'articolo 23 della legge n. 675/1996;
CONSIDERATO
che il Garante può rilasciare le autorizzazioni, anche d'ufficio, nei confronti
di singoli titolari o, con provvedimenti generali, di determinate categorie di
titolari o di trattamenti, come previsto dall'articolo 41, comma 7, della legge
n. 675/1996, nel testo sostituito dall'articolo 4, comma 1, del decreto
legislativo 9 maggio 1997, n. 123;
RITENUTO
opportuno rilasciare alcune autorizzazioni generali prima della scadenza del
termine del 30 novembre 1997, e ciò al fine di semplificare gli adempimenti che
la legge n. 675/1996 pone a carico di determinate categorie di titolari, nonché
di assicurare una migliore funzionalità dell'Ufficio del Garante e di
armonizzare le prescrizioni da impartire con le autorizzazioni;
RILEVATO
che sono in fase di predisposizione alcuni decreti legislativi per il
completamento della disciplina sulla protezione dei dati personali che, in
attuazione della legge 31 dicembre 1996, n.676, dovranno prevedere entro il 23
luglio 1998 alcune norme integrative in tema di dati sensibili, anche in
attuazione delle raccomandazioni adottate in materia dal Consiglio d'Europa;
CONSIDERATA,
quindi, l'opportunità che in questa fase transitoria le autorizzazioni non
rechino disposizioni particolarmente dettagliate, e ciò allo scopo di evitare
che l'attività dei titolari, ferme restando alcune garanzie per gli
interessati, sia soggetta a modifiche sostanziali in un breve periodo di tempo;
RITENUTO
pertanto opportuno rilasciare, allo stato, alcune autorizzazioni provvisorie,
in conformità anche a quanto previsto dall'emanando regolamento concernente
l'organizzazione e il funzionamento dell'Ufficio di questa Autorità;
RITENUTA,
tuttavia, la necessità che le autorizzazioni prendano in considerazione le
finalità dei trattamenti, le categorie dei dati, di interessati e di
destinatari della comunicazione e della diffusione, nonché il periodo di
conservazione dei dati stessi, in quanto la disciplina di tali aspetti è
prevista dalla legge n. 675/1996 ai fini dell'applicazione delle norme
sull'esonero dall'obbligo della notificazione e sulla notificazione
semplificata (articolo 7, comma 5-quater);
CONSIDERATA
la necessità che sia garantito, anche nell'attuale fase transitoria, il
rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo
che i trattamenti potrebbero comportare per i diritti e le libertà
fondamentali, nonché per la dignità delle persone, specie per quanto riguarda
la riservatezza e l'identità personale, princìpi valutati anche sulla base
delle raccomandazioni del Consiglio d'Europa;
CONSIDERATO
che un ampio numero di trattamenti di dati sensibili è effettuato ai fini
dell'adempimento di obblighi contabili, retributivi, previdenziali,
assistenziali e fiscali nell'ambito dei rapporti di lavoro, e che è pertanto
necessario che tali trattamenti formino oggetto di un'autorizzazione generale
ai sensi dell'articolo 41, comma 7, della legge n.675 /1996;
AUTORIZZA
il
trattamento dei dati sensibili di cui all'art. 22, comma 1, della legge n.
675/96, finalizzato alla gestione dei rapporti di lavoro, alle condizioni di
seguito indicate.
1) Ambito di applicazione
L'autorizzazione
è rilasciata, anche senza richiesta di parte:
a)
alle persone fisiche e giuridiche, alle imprese, agli enti alle associazioni e
agli organismi che sono parte di un rapporto di lavoro o che utilizzano
prestazioni lavorative anche atipiche o parziali o temporanee ai sensi della
legge 24 giugno 1997, n. 196, o che comunque conferiscono un incarico
professionale alle figure indicate al successivo punto 2, lett. b) e c);
b)
ad organismi paritetici e ad altri organismi che gestiscono osservatori in
materia di lavoro, previsti da leggi, da regolamenti o da contratti collettivi
anche aziendali, ovvero dalla normativa comunitaria
L'autorizzazione
riguarda anche l'attività svolta dal medico competente in materia di igiene e
di sicurezza del lavoro, in qualità di libero professionista o di dipendente
dei soggetti di cui alla lettera a) o di strutture convenzionate.
2) Interessati ai quali i dati
si riferiscono
Il
trattamento può riguardare i dati sensibili attinenti:
a)
a lavoratori dipendenti, anche se prestatori di lavoro temporaneo o in rapporto
di tirocinio, apprendistato e formazione e lavoro, ovvero ad associati anche in
compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi
familiari e conviventi;
b)
a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;
c)
a soggetti che effettuano prestazioni coordinate e continuative o ad altri lavoratori
autonomi in rapporto di collaborazione con i soggetti di cui al punto 1);
d)
a candidati all'instaurazione dei rapporti di lavoro di cui alle lettere
precedenti;
e)
a persone fisiche che ricoprono cariche sociali nelle persone giuridiche, negli
enti, nelle associazioni e negli organismi di cui al punto 1).
3) Finalità del trattamento
Il
trattamento dei dati sensibili deve essere necessario:
a)
per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire
specifici compiti previsti da leggi, da regolamenti o da contratti collettivi
anche aziendali, ovvero dalla normativa comunitaria, in particolare ai fini del
rispetto della normativa in materia di previdenza ed assistenza anche
integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione,
nonché in materia fiscale, di tutela della salute, dell'ordine e della
sicurezza pubblica;
b)
anche fuori dei casi di cui alla lettera a), in conformità alla legge e per
scopi determinati e legittimi, ai fini della tenuta della contabilità o della
corresponsione di assegni, premi, altri emolumenti, liberalità o benefici
accessori;
c)
per il perseguimento delle finalità di salvaguardia della vita o
dell'incolumità fisica dell'interessato o di un terzo;
d)
per far valere o difendere un diritto in sede giudiziaria anche da parte di un
terzo, sempreché, qualora i dati siano idonei a rivelare lo stato di salute e
la vita sessuale, il diritto da far valere o da difendere sia di rango pari a
quello dell'interessato.
4) Categorie di dati
Il
trattamento può avere per oggetto i dati strettamente pertinenti agli obblighi,
ai compiti o alle finalità di cui al punto 3), e in particolare:
a)
nell'ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o
di altro genere, ovvero l'associazione ad associazioni od organizzazioni a
carattere religioso o filosofico, i dati concernenti la fruizione di permessi e
festività religiose o di servizi di mensa, nonché la manifestazione, nei casi
previsti dalla legge, dell'obiezione di coscienza;
b)
nell'ambito dei dati idonei a rivelare le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere politico o
sindacale, i dati concernenti l'esercizio di funzioni pubbliche e di incarichi
politici, (sempreché il trattamento sia effettuato ai fini della fruizione di
permessi o di periodo di aspettativa riconosciuti dalla legge o, eventualmente,
dai contratti collettivi anche aziendali), ovvero l'organizzazione di pubbliche
iniziative, nonché i dati inerenti alle attività o agli incarichi sindacali,
ovvero alle trattenute per il versamento delle quote di servizio sindacale o
delle quote di iscrizione ad associazioni od organizzazioni politiche o
sindacali;
c)
nell'ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti in
riferimento a malattie anche professionali, invalidità infermità, maternità e
puerperio, ad infortuni, ad esposizioni a fattori di rischio, all'idoneità
psico-fisica a svolgere determinate mansioni o all'appartenenza a categorie
protette.
5) Modalità di trattamento
Fermi
restando gli obblighi previsti dagli articolo 9, 15 e 17 della legge n.
675/1996, concernenti i requisiti dei dati personali, la sicurezza e i limiti
posti ai trattamenti automatizzati volti a definire il profilo o la personalità
degli interessati, il trattamento deve essere effettuato unicamente con logiche
e mediante forme di organizzazione dei dati strettamente correlate agli
obblighi o alle finalità di cui al punto 3).
Restano
inoltre fermi gli obblighi di acquisire il consenso scritto dell'interessato e
di informare l'interessato medesimo, in conformità a quanto previsto dagli
articoli 10 e 22 della legge n. 675/1996.
6) Conservazione dei dati
Nel
quadro del rispetto dell'obbligo previsto dall'articolo 9, comma 1, lett. e)
della legge n. 675/1996, i dati sensibili possono essere conservati per un
periodo non superiore a quello necessario per adempiere agli obblighi o ai
compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A
tal fine, anche mediante verifiche periodiche, deve essere verificata
costantemente la stretta pertinenza e la non eccedenza dei dati rispetto al
rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati.
7) Comunicazione e diffusione dei dati
Ai
sensi dell'articolo 23, comma 4, della legge n. 675/1996, i dati idonei a
rivelare lo stato di salute possono essere diffusi solo se necessario per
finalità di prevenzione, accertamento o repressione dei reati, con l'osservanza
delle norme che regolano la materia.
I
dati idonei a rivelare la vita sessuale non possono essere diffusi.
Gli
altri dati sensibili possono essere comunicati, e ove necessario diffusi, nei
limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità dei
cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi
sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche
aziendale, agenzie di intermediazione, associazioni di datori di lavoro, liberi
professionisti, società esterne titolari di un autonomo trattamento di dati e
familiari dell'interessato.
8) Richieste di autorizzazione
I
titolari dei trattamenti che rientrano nell'ambito di applicazione della
presente autorizzazione non sono tenuti a presentare una richiesta di
autorizzazione a questa Autorità, qualora il trattamento che si intende
effettuare sia conforme alle prescrizioni suddette.
Le
richieste di autorizzazione pervenute o che perverranno anche successivamente
alla data di adozione del presente provvedimento , devono intendersi accolte
nei termini di cui al provvedimento medesimo.
Il
Garante non prenderà in considerazione richieste di autorizzazione per
trattamenti da effettuarsi in difformità alle prescrizioni del presente
provvedimento, salvo che il loro accoglimento sia giustificato da circostanze
del tutto particolari o da situazioni eccezionali non considerate nella
presente autorizzazione.
9) Norme finali
Restano
fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla
normativa comunitaria, che stabiliscono divieti o limiti in materia di
trattamento dei dati personali e, in particolare, delle disposizioni contenute:
a)
nell'articolo 8 della legge 20 maggio 1970, n. 300, che vieta al datore di
lavoro ai fini dell'assunzione e nello svolgimento del rapporto di lavoro, di
effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche,
religiose o sindacali del lavoratore, nonché su fatti rilevanti ai fini della
valutazione dell'attitudine professionale del lavoratore;
b)
nell'articolo 6 della legge 5 giugno 1990, n, 135, che vieta ai datori di
lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in
persone prese in considerazione per l'instaurazione di un rapporto di lavoro,
l'esistenza di uno stato di sieropositività;
c)
nelle norme in materia di pari opportunità o volte a prevenire discriminazioni.
10) Efficacia temporale e
disciplina transitoria
La
presente autorizzazione ha efficacia a decorrere dal 30 novembre 1997, fino al
30 settembre 1998.
Qualora
alla data del 30 novembre 1997 il trattamento non sia già conforme alle
prescrizioni della presente autorizzazione, il titolare può adeguarsi ad esse
entro il 31 dicembre 1997, sempreché le caratteristiche del trattamento non
permettano un adeguamento entro un termine più breve,
La
presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della
Repubblica italiana.
Roma,
19 novembre 1997
Il Presidente
Legge 31/12/96, n. 675
Tutela delle persone e di
altri soggetti rispetto al trattamento dei dati personali
Capo I - PRINCIPI GENERALI
Art. 1.- Finalità e definizioni
1.
La presente legge garantisce che il trattamento dei dati personali si svolga
nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità
delle persone fisiche, con particolare riferimento alla riservatezza e
all'identità personale; garantisce altresì i diritti delle persone giuridiche e
di ogni altro ente o associazione.
2.
Ai fini della presente legge si intende:
a)
per -banca di dati- qualsiasi complesso di dati personali, ripartito in una o
più unità dislocate in uno o più siti, organizzato secondo una pluralità di
criteri determinati tali da facilitarne il trattamento;
b)
per -trattamento- qualunque operazione o complesso di operazioni, svolti con o
senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione,
la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati;
c)
per -dato personale- qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
d)
per -titolare- la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui competono
le decisioni in ordine alle finalità ed alle modalità del trattamento di dati
personali, ivi compreso il profilo della sicurezza;
e)
per -responsabile- la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo preposti dal
titolare al trattamento di dati personali;
f)
per -interessato- la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali;
g)
per -comunicazione- il dare conoscenza dei dati personali a uno o più soggetti
determinati diversi dall'interessato, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione;
h)
per -diffusione- il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a disposizione
o consultazione;
i)
per -dato anonimo- il dato che in origine, o a seguito di trattamento, non può
essere associato ad un interessato identificato o identificabile;
l)
per -blocco- la conservazione di dati personali con sospensione temporanea di
ogni altra operazione del trattamento;
m)
per -Garante- l'autorità istituita ai sensi dell'articolo 30.
Art. 2 - Ambito di applicazione
1.
La presente legge si applica al trattamento di dati personali da chiunque effettuato
nel territorio dello Stato.
Art. 3 - Trattamento di dati per fini esclusivamente personali
1.
Il trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali non è soggetto all'applicazione della presente legge,
sempreché i dati non siano destinati ad una comunicazione sistematica o alla
diffusione.
2.
Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in
tema di sicurezza dei dati di cui all'articolo 15, nonché le disposizioni di
cui agli articoli 18 e 36.
Art. 4 - Particolari trattamenti in ambito pubblico
1.
La presente legge non si applica al trattamento di dati personali effettuato:
a)
dal Centro elaborazione dati di cui all'articolo 8 della legge 1. aprile 1981,
n. 121, come modificato dall'articolo 43, comma 1, della presente legge, ovvero
sui dati destinati a confluirvi in base alla legge, nonché in virtù
dell'accordo di adesione alla Convenzione di applicazione dell'Accordo di
Schengen, reso esecutivo con legge 30 settembre 1993, n. 388;
b)
dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n.
801, ovvero sui dati coperti da segreto di Stato ai sensi dell'articolo 12
della medesima legge;
c)
nell'ambito del servizio del casellario giudiziale di cui al titolo IV del
libro decimo del codice di procedura penale e al regio decreto 18 giugno 1931,
n. 778, e successive modificazioni, o, in base alla legge, nell'ambito del
servizio dei carichi pendenti nella materia penale;
d)
in attuazione dell'articolo 371-bis, comma 3, del codice di procedura penale o,
per ragioni di giustizia, nell'ambito di uffici giudiziari, del Consiglio
superiore della magistratura e del Ministero di grazia e giustizia;
e)
da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o
di prevenzione, accertamento o repressione dei reati, in base ad espresse
disposizioni di legge che prevedano specificamente il trattamento.
2.
Ai trattamenti di cui al comma 1 si applicano in ogni caso le disposizioni di
cui agli articoli 9, 15, 17, 18, 31, 32, commi 6 e 7, e 36, nonché, fatta
eccezione per i trattamenti di cui alla lettera b) del comma 1, le disposizioni
di cui agli articoli 7 e 34.
Art. 5 - Trattamento di dati svolto senza l'ausilio di mezzi
elettronici
1.
Il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o
comunque automatizzati è soggetto alla medesima disciplina prevista per il
trattamento effettuato con l'ausilio di tali mezzi.
Art. 6 - Trattamento di dati detenuti all'estero
1.
Il trattamento nel territorio dello Stato di dati personali detenuti all'estero
è soggetto alle disposizioni della presente legge.
2.
Se il trattamento di cui al comma 1 consiste in un trasferimento di dati
personali fuori dal territorio nazionale si applicano in ogni caso le
disposizioni dell'articolo 28.
Capo II - OBBLIGHI PER IL TITOLARE DEL
TRATTAMENTO
Art. 7 - Notificazione
1.
Il titolare che intenda procedere ad un trattamento di dati personali soggetto
al campo di applicazione della presente legge è tenuto a darne notificazione al
Garante.
2.
La notificazione è effettuata preventivamente ed una sola volta, a mezzo di
lettera raccomandata ovvero con altro mezzo idoneo a certificarne la ricezione,
a prescindere dal numero delle operazioni da svolgere, nonché dalla durata del
trattamento e può riguardare uno o più trattamenti con finalità correlate. Una
nuova notificazione è richiesta solo se muta taluno degli elementi indicati nel
comma 4 e deve precedere l'effettuazione della variazione.
3.
La notificazione è sottoscritta dal notificante e dal responsabile del
trattamento.
4.
La notificazione contiene:
a)
il nome, la denominazione o la ragione sociale e il domicilio, la residenza o
la sede del titolare;
b)
le finalità e modalità del trattamento;
c)
la natura dei dati, il luogo ove sono custoditi e le categorie di interessati
cui i dati si riferiscono;
d)
l'ambito di comunicazione e di diffusione dei dati;
e)
i trasferimenti di dati previsti verso Paesi non appartenenti all'Unione
europea o, qualora, riguardino taluno dei dati di cui agli articoli 22 e 24,
fuori del territorio nazionale;
f)
una descrizione generale che permetta di valutare l'adeguatezza delle misure
tecniche ed organizzative adottate per la sicurezza dei dati;
g)
l'indicazione della banca di dati o delle banche di dati cui si riferisce il
trattamento, nonché l'eventuale connessione con altri trattamenti o banche di
dati, anche fuori del territorio nazionale;
h)
il nome, la denominazione o la ragione sociale e il domicilio, la residenza o
la sede del responsabile; in mancanza di tale indicazione si considera
responsabile il notificante;
i)
la qualità e la legittimazione del notificante.
5.
I soggetti tenuti ad iscriversi o che devono essere annotati nel registro delle
imprese di cui all'articolo 2188 del codice civile, nonché coloro che devono
fornire le informazioni di cui all'articolo 8, comma 8, lettera d), della legge
29 dicembre 1993, n. 580, alle camere di commercio, industria, artigianato e
agricoltura, possono effettuare la notificazione per il tramite di queste
ultime, secondo le modalità stabilite con il regolamento di cui all'articolo
33, comma 3. I piccoli imprenditori e gli artigiani possono effettuare la
notificazione anche per il tramite delle rispettive rappresentanze di
categoria; gli iscritti agli albi professionali anche per il tramite dei
rispettivi ordini professionali. Resta in ogni caso ferma la disposizione di
cui al comma 3.
5-bis.
La notificazione in forma semplificata può non contenere taluno degli elementi
di cui al comma 4, lettere b), c), e) e g), individuati dal Garante ai sensi
del regolamento di cui all'articolo33, comma 3, quando il trattamento è
effettuato:
a)
da soggetti pubblici, esclusi gli enti pubblici economici, sulla base di
espressa disposizione di legge ai sensi degli articoli 22, comma 3 e 24, ovvero
del provvedimento di cui al medesimo articolo 24;
b)
nell'esercizio della professione di giornalista e per l'esclusivo perseguimento
delle relative finalità, ovvero dai soggetti indicati nel comma 4-bis
dell'articolo 25, nel rispetto del codice di deontologia di cui al medesimo
articolo;
c)
temporaneamente senza l'ausilio di mezzi elettronici o comunque automatizzati,
ai soli fini e con le modalità strettamente collegate all'organizzazione
interna dell'attività esercitata dal titolare, relativamente a dati non
registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e
24.
5-ter.
Fuori dei casi di cui all'articolo 4, il trattamento non è soggetto a
notificazione quando:
a)
è necessario per l'assolvimento di un compito previsto dalla legge, da un
regolamento o dalla normativa comunitaria, relativamente a dati diversi da
quelli indicati negli articoli 22 e 24;
b)
riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui
all'articolo 20, comma 1, lettera b);
c)
è effettuato per esclusive finalità di gestione del protocollo, relativamente
ai dati necessari per la classificazione della corrispondenza inviata per fini
diversi da quelli di cui all'articolo 13, comma 1, lettera e), con particolare
riferimento alle generalità e ai recapiti degli interessati, alla loro
qualifica e all'organizzazione di appartenenza;
d)
riguarda rubriche telefoniche o analoghe non destinate alla diffusione,
utilizzate unicamente per ragioni d'ufficio e di lavoro e comunque per fini
diversi da quelli di cui all'articolo 13, comma 1, lettera e);
e)
è finalizzato unicamente all'adempimento di specifici obblighi contabili,
retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con
riferimento alle sole categorie di dati, di interessati e di destinatari della
comunicazione e diffusione strettamente collegate a tale adempimento,
conservando i dati non oltre il periodo necessario all'adempimento medesimo;
f)
è effettuato, salvo quanto previsto dal comma 5-bis, lettera b) da liberi
professionisti iscritti in albi o elenchi professionali, per le sole finalità
strettamente collegate all'adempimento di specifiche prestazioni e fermo
restando il segreto professionale;
g)
è effettuato dai piccoli imprenditori di cui all'articolo 2083 del Codice
civile per le sole finalità strettamente collegate allo svolgimento
dell'attività professionale esercitata, e limitatamente alle categorie di dati
di interessati, di destinatari della comunicazione e diffusione e al periodo di
conservazione dei dati necessari per il perseguimento delle finalità medesime;
h)
è finalizzato alla tenuta di albi o elenchi professionali in conformità alle
leggi a ai regolamenti;
i)
è effettuato per esclusive finalità dell'ordinaria gestione di biblioteche, musei
e mostre, in conformità alle leggi e ai regolamenti, ovvero per la
organizzazione di iniziative culturali o sportive o per la formazione di
cataloghi e bibliografie;
l)
è effettuato da associazioni, fondazioni, comitati anche a carattere politico,
filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi,
istituiti per scopi non di lucro e per il perseguimento di finalità lecite,
relativamente a dati inerenti agli associati e ai soggetti che in relazione a
tali finalità hanno contatti regolari con l'associazione, la fondazione, il
comitato o l'organismo, fermi restando gli obblighi di informativa degli
interessati e di acquisizione del consenso, ove necessario;
m)
è effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto
1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle
autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23;
n)
è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione
o diffusione occasionale di articoli, saggi e altre manifestazioni del
pensiero, nel rispetto del Codice di cui all'articolo 25;
o)
è effettuato, anche con mezzi elettronici o comunque automatizzati, per la
redazione di periodici o pubblicazioni aventi finalità di informazione giuridica,
relativamente a dati desunti da provvedimenti dell'autorità giudiziaria o di
altre autorità;
p)
è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a
proposte di legge d'iniziativa popolare, a richieste di referendum, a petizioni
o ad appelli;
q)
è finalizzato unicamente all'amministrazione dei condomini di cui all'articolo
1117 e seguenti del Codice civile, limitatamente alle categorie di dati, di
interessati e di destinatari della comunicazione necessarie per l'amministrazione
dei beni comuni, conservando i dati non oltre il periodo necessario per la
tutela dei corrispondenti diritti.
5-quater.
Il titolare si può avvalere della notificazione semplificata o dell'esonero di
cui ai commi 5-bis e 5-ter, sempre che il trattamento riguardi unicamente le
finalità, le categorie di dati, di interessati e di destinatari della
comunicazione e diffusione individuate, unitamente al periodo di conservazione
dei dati, dai medesimi commi 5-bis e 5-ter, nonchè:
a)
nei casi di cui ai commi 5-bis, lettera a) e 5-ter, lettere a) e m), dalle
disposizioni di legge o di regolamento o dalla normativa comunitaria ivi
indicate;
b)
nel caso di cui al comma 5-bis, lettera b), dal codice di deontologia ivi
indicato;
c)
nei casi residui, dal Garante, con le autorizzazioni rilasciate con le modalità
previste dall'articolo 41, comma 7, ovvero, per i dati diversi da quelli di cui
agli articoli 22 e 24, con provvedimenti analoghi.
5-quinquies.
Il titolare che si avvale dell'esonero di cui al comma 5-ter deve fornire gli
elementi di cui al comma 4 a chiunque ne faccia richiesta
Art. 8 - Responsabile
1.
Il responsabile, se designato, deve essere nominato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.
2.
Il responsabile procede al trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 1 e delle proprie istruzioni.
3.
Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4.
I compiti affidati al responsabile devono essere analiticamente specificati per
iscritto.
5.
Gli incaricati del trattamento devono elaborare i dati personali ai quali hanno
accesso attenendosi alle istruzioni del titolare o del responsabile.
Capo III - TRATTAMENTO DEI DATI PERSONALI
Sezione I - Raccolta e requisiti dei dati
Art. 9 - Modalità di raccolta e requisiti dei dati personali
1.
I dati personali oggetto di trattamento devono essere:
a)
trattati in modo lecito e secondo correttezza;
b)
raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini non incompatibili con
tali scopi;
c)
esatti e, se necessario, aggiornati;
d)
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
e)
conservati in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali essi
sono stati raccolti o successivamente trattati.
Art. 10 - Informazioni rese al momento della raccolta
1.
L'interessato o la persona presso la quale sono raccolti i dati personali
devono essere previamente informati oralmente o per iscritto circa:
a)
le finalità e le modalità del trattamento cui sono destinati i dati;
b)
la natura obbligatoria o facoltativa del conferimento dei dati;
c)
le conseguenze di un eventuale rifiuto di rispondere;
d)
i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati
e l'ambito di diffusione dei dati medesimi;
e)
i diritti di cui all'articolo 13;
f)
il nome, la denominazione o la ragione sociale e il domicilio, la residenza o
la sede del titolare e, se designato, del responsabile.
2.
L'informativa di cui al comma 1 può non comprendere gli elementi già noti alla
persona che fornisce i dati o la cui conoscenza può ostacolare l'espletamento
di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento
delle finalità di cui agli articoli 4, comma 1, lettera e), e 14, comma 1,
lettera d).
3.
Quando i dati personali non sono raccolti presso l'interessato, l'informativa
di cui al comma 1 è data al medesimo interessato all'atto della registrazione
dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima
comunicazione.
4.
La disposizione di cui al comma 3 non si applica quando l'informativa
all'interessato comporta un impiego di mezzi che il Garante dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero si rivela, a
giudizio del Garante, impossibile, ovvero nel caso in cui i dati sono trattati
in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria. La medesima disposizione non si applica, altresì, quando i dati
sono trattati ai fini dello svolgimento delle investigazioni di cui
all'articolo 38 delle norme di attuazione, di coordinamento e transitorie del
codice di procedura penale, approvate con decreto legislativo 28 luglio 1989,
n. 271, e successive modificazioni, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente
per tali finalità e per il periodo strettamente necessario al loro
perseguimento.
Sezione II - Diritti dell'interessato
nel trattamento dei dati
Art. 11 - Consenso
1.
Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso solo con il consenso espresso dell'interessato.
2.
Il consenso può riguardare l'intero trattamento ovvero una o più operazioni
dello stesso.
3.
Il consenso è validamente prestato solo se è espresso liberamente, e in forma
specifica e documentata per iscritto, e se sono state rese all'interessato le
informazioni di cui all'articolo 10.
Art. 12 - Casi di esclusione del consenso
1.
Il consenso non è richiesto quando il trattamento:
a)
riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge,
da un regolamento o dalla normativa comunitaria;
b)
è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è
parte l'interessato o per l'acquisizione di informative precontrattuali
attivate su richiesta di quest'ultimo, ovvero per l'adempimento di un obbligo
legale;
c)
riguarda dati provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque;
d)
è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si
tratta di dati anonimi;
e)
è effettuato nell'esercizio della professione di giornalista e per l'esclusivo
perseguimento delle relative finalità, nel rispetto del codice di deontologia
di cui all'articolo 25;
f)
riguarda dati relativi allo svolgimento di attività economiche raccolti anche
ai fini indicati nell'articolo 13, comma 1, lettera e), nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
g)
è necessario per la salvaguardia della vita o dell'incolumità fisica
dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare
il proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere;
h)
è necessario ai fini dello svolgimento delle investigazioni di cui all'articolo
38 delle norme di attuazione, di coordinamento e transitorie del codice di
procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e
successive modificazioni, o, comunque, per far valere o difendere un diritto in
sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento.
Art. 13 - Diritti dell'interessato
1.
In relazione al trattamento di dati personali l'interessato ha diritto:
a)
di conoscere, mediante accesso gratuito al registro di cui all'articolo 31,
comma 1, lettera a), l'esistenza di trattamenti di dati che possono
riguardarlo;
b)
di essere informato su quanto indicato all'articolo 7, comma 4, lettere a), b)
e h);
c)
di ottenere, a cura del titolare o del responsabile, senza ritardo:
1)
la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se
non ancora registrati, e la comunicazione in forma intellegibile dei medesimi
dati e della loro origine, nonché della logica e delle finalità su cui si basa
il trattamento;la richiesta può essere rinnovata, salva l'esistenza di
giustificati motivi, con intervallo non minore di novanta giorni;
2)
la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
3)
l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse,
l'integrazione dei dati;
4)
l'attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i
dati sono stati comunicati o diffusi, eccettuato il caso in cui tale
adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente
sproporzionato rispetto al diritto tutelato;
d)
di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati
personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
e)
di opporsi, in tutto o in parte, al trattamento di dati personali che lo
riguardano, previsto a fini di informazioni commerciali o di invio di materiale
pubblicitario o di vendita diretta ovvero per il compimento di ricerche di
mercato o di comunicazione commerciale interattiva e di essere informato dal
titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della
possibilità di esercitare gratuitamente tale diritto.
2.
Per ciascuna richiesta di cui al comma 1, lettera c), numero 1), può essere
chiesto all'interessato, ove non risulti confermata l'esistenza di dati che lo
riguardano, un contributo spese, non superiore ai costi effettivamente
sopportati, secondo le modalità ed entro i limiti stabiliti dal regolamento di
cui all'articolo 33, comma 3.
3.
I diritti di cui al comma 1 riferiti ai dati personali concernenti persone
decedute possono essere esercitati da chiunque vi abbia interesse.
4.
Nell'esercizio dei diritti di cui al comma 1 l'interessato può conferire, per
iscritto, delega o procura a persone fisiche o ad associazioni.
5.
Restano ferme le norme sul segreto professionale degli esercenti la professione
di giornalista, limitatamente alla fonte della notizia.
Art. 14 - Limiti all'esercizio dei diritti
1.
I diritti di cui all'articolo 13, comma 1, lettere c) e d), non possono essere
esercitati nei confronti dei trattamenti di dati personali raccolti:
a)
in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito,
con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive
modificazioni;
b)
in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419,
convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e
successive modificazioni;
c)
da Commissioni parlamentari di inchiesta istituite ai sensi dell'articolo 82
della Costituzione;
d)
da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad
espressa disposizione di legge, per esclusive finalità inerenti la politica
monetaria e valutaria, il sistema dei pagamenti, il controllo degli
intermediari e dei mercati creditizi e finanziari nonché la tutela della loro
stabilità;
e)
ai sensi dell'articolo 12, comma 1, lettera h), limitatamente al periodo
durante il quale potrebbe derivarne pregiudizio per lo svolgimento delle
investigazioni o per l'esercizio del diritto di cui alla medesima lettera h).
2.
Nei casi di cui al comma 1 il Garante, anche su segnalazione dell'interessato
ai sensi dell'articolo 31, comma 1, lettera d), esegue i necessari accertamenti
nei modi di cui all'articolo 32, commi 6 e 7, e indica le necessarie
modificazioni ed integrazioni, verificandone l'attuazione.
Sezione
III - Sicurezza nel trattamento dei dati, limiti alla utilizzabilità dei dati e
risarcimento del danno
Art. 15 - Sicurezza dei dati
1.I
dati personali oggetto di trattamento devono essere custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
2.
Le misure minime di sicurezza da adottare in via preventiva sono individuate
con regolamento emanato con decreto del Presidente della Repubblica, ai sensi
dell'articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400,
entro centottanta giorni dalla data di entrata in vigore della presente legge,
su proposta del Ministro di grazia e giustizia, sentiti l'Autorità per
l'informatica nella pubblica amministrazione e il Garante.
3
Le misure di sicurezza di cui al comma 2 sono adeguate, entro due anni dalla
data di entrata in vigore della presente legge e successivamente con cadenza
almeno biennale, con successivi regolamenti emanati con le modalità di cui al medesimo
comma 2, in relazione all'evoluzione tecnica del settore e all'esperienza
maturata.
4.
Le misure di sicurezza relative ai dati trattati dagli organismi di cui
all'articolo 4, comma 1, lettera b), sono stabilite con decreto del Presidente
del Consiglio dei ministri con l'osservanza delle norme che regolano la
materia.
Art. 16 - Cessazione del trattamento dei dati
1.
In caso di cessazione, per qualsiasi causa, del trattamento dei dati, il
titolare deve notificare preventivamente al Garante la loro destinazione.
2.
I dati possono essere:
a)
distrutti;
b)
ceduti ad altro titolare, purché destinati ad un trattamento per finalità
analoghe agli scopi per i quali i dati sono raccolti;
c)
conservati per fini esclusivamente personali e non destinati ad una
comunicazione sistematica o alla diffusione.
3.
La cessione dei dati in violazione di quanto previsto dalla lettera b) del
comma 2 o di altre disposizioni di legge in materia di trattamento dei dati
personali è nulla ed è punita ai sensi dell'articolo 39, comma 1.
Art. 17 - Limiti all'utilizzabilità di dati personali
1.
Nessun atto o provvedimento giudiziario o amministrativo che implichi una
valutazione del comportamento umano può essere fondato unicamente su un
trattamento automatizzato di dati personali volto a definire il profilo o la
personalità dell'interessato.
2.
L'interessato può opporsi ad ogni altro tipo di decisione adottata sulla base
del trattamento di cui al comma 1 del presente articolo, ai sensi dell'articolo
13, comma 1, lettera d), salvo che la decisione sia stata adottata in occasione
della conclusione o dell'esecuzione di un contratto, in accoglimento di una
proposta dell'interessato o sulla base di adeguate garanzie individuate dalla
legge.
Art. 18 - Danni cagionati per effetto del trattamento di dati
personali
1.
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è
tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
Sezione IV - Comunicazione
e diffusione dei dati
Art. 19 - Incaricati del trattamento
1.
Non si considera comunicazione la conoscenza dei dati personali da parte delle
persone incaricate per iscritto di compiere le operazioni del trattamento dal
titolare o dal responsabile, e che operano sotto la loro diretta autorità.
Art. 20 - Requisiti per la comunicazione e la diffusione dei dati
1.
La comunicazione e la diffusione dei dati personali da parte di privati e di
enti pubblici economici sono ammesse:
a)
con il consenso espresso dell'interessato;
b)
se i dati provengono da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi e i
regolamenti stabiliscono per la loro conoscibilità e pubblicità;
c)
in adempimento di un obbligo previsto dalla legge, da un regolamento o dalla
normativa comunitaria;
d)
nell'esercizio della professione di giornalista e per l'esclusivo perseguimento
delle relative finalità, nei limiti del diritto di cronaca posti a tutela della
riservatezza ed in particolare dell'essenzialità dell'informazione riguardo a
fatti di interesse pubblico e nel rispetto del codice di deontologia di cui
all'articolo 25;
e)
se i dati sono relativi allo svolgimento di attività economiche, nel rispetto
della vigente normativa in materia di segreto aziendale e industriale;
f)
qualora siano necessarie per la salvaguardia della vita o dell'incolumità
fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può
prestare il proprio consenso per impossibilità fisica, per incapacità di agire
o per incapacità di intendere o di volere;
g)
limitatamente alla comunicazione, qualora questa sia necessaria ai fini dello
svolgimento delle investigazioni di cui all'articolo 38 delle norme di
attuazione, di coordinamento e transitorie del codice di procedura penale,
approvate con decreto legislativo 28 luglio 1989, n. 271, e successive
modificazioni, o, comunque, per far valere o difendere un diritto in sede
giudiziaria, nel rispetto della normativa di cui alla lettera e) del presente
comma, sempre che i dati siano trattati esclusivamente per tali finalità e per
il periodo strettamente necessario al loro perseguimento;
h)
limitatamente alla comunicazione, quando questa sia effettuata nell'ambito dei
gruppi bancari di cui all'articolo 60 del testo unico delle leggi in materia
bancaria e creditizia approvato con decreto legislativo 1. settembre 1993, n.
385, nonché tra società controllate e società collegate ai sensi dell'articolo
2359 del codice civile, i cui trattamenti con finalità correlate sono stati
notificati ai sensi dell'articolo 7, comma 2, per il perseguimento delle
medesime finalità per le quali i dati sono stati raccolti.
2.
Alla comunicazione e alla diffusione dei dati personali da parte di soggetti
pubblici, esclusi gli enti pubblici economici, si applicano le disposizioni
dell'articolo 27.
Art. 21 - Divieto di comunicazione e diffusione
1.
Sono vietate la comunicazione e la diffusione di dati personali per finalità
diverse da quelle indicate nella notificazione di cui all'articolo 7.
2.
Sono altresì vietate la comunicazione e la diffusione di dati personali dei
quali sia stata ordinata la cancellazione, ovvero quando sia decorso il periodo
di tempo indicato nell'articolo 9, comma 1, lettera e).
3.
Il Garante può vietare la diffusione di taluno dei dati relativi a singoli
soggetti, od a categorie di soggetti, quando la diffusione si pone in contrasto
con rilevanti interessi della collettività. Contro il divieto può essere
proposta opposizione ai sensi dell'articolo 29, commi 6 e 7.
4.
La comunicazione e la diffusione dei dati sono comunque permesse:
a)
qualora siano necessarie per finalità di ricerca scientifica o di statistica e
si tratti di dati anonimi;
b)
quando siano richieste dai soggetti di cui all'articolo 4, comma 1, lettere b),
d) ed e), per finalità di difesa o di sicurezza dello Stato o di prevenzione,
accertamento o repressione di reati, con l'osservanza delle norme che regolano
la materia.
Capo IV - TRATTAMENTO
DI DATI PARTICOLARI
Art. 22 - Dati sensibili
1.
I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale, possono essere oggetto di trattamento solo
con il consenso scritto dell'interessato e previa autorizzazione del Garante.
2.
Il Garante comunica la decisione adottata sulla richiesta di autorizzazione
entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla
base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a
garanzia dell'interessato, che il titolare del trattamento è tenuto ad
adottare.
3.
Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici,
esclusi gli enti pubblici economici, è consentito solo se autorizzato da
espressa disposizione di legge nella quale siano specificati i dati che possono
essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse
pubblico perseguite.
4.
I dati personali idonei a rivelare lo stato di salute e la vita sessuale
possono essere oggetto di trattamento previa autorizzazione del Garante,
qualora il trattamento sia necessario ai fini dello svolgimento delle
investigazioni di cui all'articolo 38 delle norme di attuazione, di
coordinamento e transitorie del codice di procedura penale, approvate con
decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o,
comunque, per far valere o difendere in sede giudiziaria un diritto di rango
pari a quello dell'interessato, sempre che i dati siano trattati esclusivamente
per tali finalità e per il periodo strettamente necessario al loro
perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al
comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di
buona condotta secondo le modalità di cui all'articolo 31, comma 1, lettera h).
Resta fermo quanto previsto dall'articolo 43, comma 2
Art. 23 - Dati inerenti alla salute
1.
Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici
possono, anche senza l'autorizzazione del Garante, trattare i dati personali
idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni
indispensabili per il perseguimento di finalità di tutela dell'incolumità
fisica e della salute dell'interessato. Se le medesime finalità riguardano un
terzo o la collettività, in mancanza del consenso dell'interessato, il
trattamento può avvenire previa autorizzazione del Garante.
2.
I dati personali idonei a rivelare lo stato di salute possono essere resi noti
all'interessato solo per il tramite di un medico designato dall'interessato o
dal titolare.
3.
L'autorizzazione di cui al comma 1 è rilasciata, salvi i casi di particolare
urgenza, sentito il Consiglio superiore di sanità. E' vietata la comunicazione
dei dati ottenuti oltre i limiti fissati con l'autorizzazione.
4.
La diffusione dei dati idonei a rivelare lo stato di salute è vietata, salvo
nel caso in cui sia necessaria per finalità di prevenzione, accertamento o
repressione dei reati, con l'osservanza delle norme che regolano la materia.
Art. 24 - Dati relativi ai provvedimenti di cui all'articolo 686
del codice di procedura penale
1.
Il trattamento di dati personali idonei a rivelare provvedimenti di cui
all'articolo 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura
penale, è ammesso soltanto se autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le rilevanti finalità di interesse
pubblico del trattamento, i tipi di dati trattati e le precise operazioni
autorizzate.
Art. 25 - Trattamento di dati particolari nell'esercizio della
professione di giornalista
1.
Salvo che per i dati idonei a rivelare lo stato di salute e la vita sessuale,
il consenso dell'interessato non è richiesto quando il trattamento dei dati di
cui all'articolo 22 è effettuato nell'esercizio della professione di
giornalista e per l'esclusivo perseguimento delle relative finalità, nei limiti
del diritto di cronaca, ed in particolare dell'essenzialità dell'informazione
riguardo a fatti di interesse pubblico. Al medesimo trattamento, non si applica
il limite previsto per i dati di cui all'articolo 24. Nei casi previsti dal
presente comma, il trattamento svolto in conformità del codice di cui ai commi
2 e 3 può essere effettuato anche senza l'autorizzazione del Garante.
2.
Il Garante promuove, nei modi di cui all'articolo 31, comma 1, lettera h),
l'adozione, da parte del Consiglio nazionale dell'ordine dei giornalisti, di un
apposito codice di deontologia relativo al trattamento dei dati di cui al comma
1 del presente articolo, effettuato nell'esercizio della professione di
giornalista, che preveda misure ed accorgimenti a garanzia degli interessati
rapportate alla natura dei dati. Nella fase di formazione del codice, ovvero
successivamente, il Garante prescrive eventuali misure e accorgimenti a
garanzia degli interessati, che il Consiglio è tenuto a recepire.
3.
Ove entro sei mesi dalla proposta del Garante il codice di deontologia di cui
al comma 2 non sia stato adottato dal Consiglio nazionale dell'ordine dei
giornalisti, esso è adottato in via sostitutiva dal Garante ed è efficace sino
alla adozione di un diverso codice secondo la procedura di cui al comma 2. In
caso di violazione delle prescrizioni contenute nel codice di deontologia, il
Garante può vietare il trattamento ai sensi dell'articolo 31, comma 1, lettera
l).
4.
Nel codice di cui ai commi 2 e 3 sono inserite, altresì, prescrizioni
concernenti i dati personali diversi da quelli indicati negli articoli 22 e 24.
Il
codice può prevedere forme semplificate per le informative di cui all'articolo
10.
4-bis.
Le disposizioni della presente legge che attengono all'esercizio della
professione di giornalista si applicano anche ai trattamenti effettuati dai
soggetti iscritti nell'elenco dei pubblicisti o nel registro dei praticanti di
cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69, nonché ai
trattamenti temporanei finalizzati esclusivamente alla pubblicazione o
diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero.
Art. 26 - Dati concernenti persone giuridiche
1.
Il trattamento nonché la cessazione del trattamento di dati concernenti persone
giuridiche, enti o associazioni non sono soggetti a notificazione.
2.
Ai dati riguardanti persone giuridiche, enti o associazioni non si applicano le
disposizioni dell'articolo 28.
omissis