|
IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI Nella
riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,
segretario generale;
Visto il Codice in materia di protezione dei dati personali e, in
particolare, le disposizioni riguardanti la notificazione del trattamento
(articolo 37 ss., decreto legislativo 30 giugno 2003, n. 196);
Visto l'art. 29 del decreto-legge 25 giugno 2008, n. 112, come modificato
dalla legge di conversione 6 agosto 2008, n.133, con il quale e' stato, fra
l'altro, modificato l'art. 38 del Codice;
Considerato che la notificazione e' validamente effettuata solo se e'
trasmessa attraverso il sito dell'Autorita' (http://www.garanteprivacy.it)
utilizzando l'apposito modello predisposto dal Garante (art. 38 del Codice,
come modificato dal citato art. 29 del decreto-legge n. 112/2008);
Considerato che tale modello deve contenere soltanto alcune tipologie di
informazioni riguardanti il trattamento da notificare, specificamente
indicate nella normativa ora richiamata;
Ritenuta l'esigenza di adeguare il predetto modello per la notificazione,
nonche' le relative istruzioni, in modo da introdurre, nei riguardi dei
soggetti tenuti a tale adempimento ulteriori semplificazioni rispetto a
quelle in passato gia' introdotte dal Garante;
Rilevata l'esigenza che detto modello, unitamente alle relative istruzioni,
sia facilmente reperibile sul sito Internet dell'Autorita'
(http://www.garanteprivacy.it/), attraverso il quale deve essere trasmessa
la notificazione;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott.
Giuseppe Chiaravalloti;
Premesso:
Il presente provvedimento ha lo scopo di introdurre talune semplificazioni
al modello utilizzato per effettuare le notificazioni al Garante, ulteriori
rispetto a quelle gia' in passato introdotte da questa Autorita'.
Risulta a tal fine opportuno richiamare preliminarmente alcune
caratteristiche della notificazione.
1) Contenuto della notificazione al Garante. La notificazione e' una
dichiarazione con la quale un soggetto pubblico o privato, titolare del
trattamento, rende nota al Garante l'esistenza di un'attivita' di raccolta e
di utilizzazione dei dati personali.
Essa deve contenere unicamente le seguenti tipologie di informazioni:
a) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche' le modalita' per individuare
il responsabile del trattamento se designato;
b) la o le finalita' del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati
o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere
comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare
l'adeguatezza delle misure adottate per garantire la sicurezza del
trattamento. Una volta ricevute, le notificazioni sono inserite in un
registro pubblico consultabile gratuitamente da chiunque on-line.
2) Casi nei quali la notificazione e' dovuta. In termini generali, la
notificazione e' dovuta per disposizione di legge esclusivamente da soggetti
che effettuano trattamenti riguardanti:
a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a
fini di procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,
sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa
sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il
profilo o la personalita' dell'interessato, o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del
personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di
opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilita' economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
La notificazione relativa al trattamento dei dati sopra menzionati non e'
tuttavia dovuta se relativa all'attivita' dei medici di famiglia e dei
pediatri di libera scelta, in quanto tale funzione e' considerata tipica del
loro rapporto professionale con il Servizio sanitario nazionale (art. 37,
comma 1-bis, del Codice).
Va altresi' tenuto conto che questa Autorita' ha disposto in base alla legge
alcuni esoneri dall'obbligo di notificazione nei riguardi dei soggetti e dei
trattamenti indicati in un'apposita deliberazione pubblicata sul menzionato
sito Internet del Garante, accompagnata da utili chiarimenti in ordine a
quesiti pervenuti (Provv. 31 marzo 2004 n. 1, in Gazzetta Ufficiale 6 aprile
2004, n. 81, nonche' in www.garanteprivacy.it, doc. web n. 852561; nota 23
aprile 2004, ivi, doc. web n. 993385). Non e' dovuta la notificazione nei
casi diversi da quelli indicati.
3) Momento in cui deve essere effettuata la notificazione. La notificazione
deve essere presentata al Garante prima dell'inizio del trattamento e una
sola volta, a prescindere dal numero delle operazioni e della durata del
trattamento da effettuare, e puo' anche riguardare uno o piu' trattamenti
con finalita' correlate. Essa deve essere effettuata con unico atto anche
quando il trattamento comporta il trasferimento all'estero dei dati. Una
nuova notificazione e' richiesta solo anteriormente alla cessazione del
trattamento o al mutamento di taluno degli elementi da indicare nella
notificazione medesima. Tutto cio' premesso, in attuazione della menzionata
modifica normativa, vanno quindi introdotte alcune modifiche semplificative
del modello di notificazione. Il modello semplificato sara' reso disponibile
e operativo sul menzionato sito del Garante entro e non oltre sessanta
giorni dalla data di pubblicazione del presente provvedimento, non appena
soddisfatte le esigenze tecniche di adattamento del medesimo sito. Pertanto,
il Garante;
Delibera:
1. Di introdurre talune
semplificazioni al modello utilizzato per effettuare le notificazioni al
Garante, approvando il nuovo modello di notificazione riportato,
nell'allegato A che costituisce parte integrante del presente provvedimento
e che sara' reso disponibile e operativo sul sito Internet del Garante
(http://www.garanteprivacy.it) entro e non oltre sessanta giorni dalla data
di pubblicazione del presente provvedimento;
2. di dare atto che l'introduzione del nuovo modello non comporta, per cio'
stesso, l'obbligo di effettuare una nuova notificazione da parte dei
soggetti che l'abbiano gia' effettuata;
3. di disporre che copia del presente provvedimento sia trasmessa al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la
pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 22 ottobre 2008
Il presidente
Pizzetti
Il relatore
Chiaravalloti
Il segretario generale
Buttarelli
Allegato A
|