GARANTE PER LA PROTEZIONE DEI DATI PERSONALI AUTORIZZAZIONE 12 dicembre 2013 Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti. (Autorizzazione n. 4/2013). (13A10498) (GU n.302 del 27-12-2013)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
AUTORIZZAZIONE 12 dicembre 2013 

Autorizzazione al trattamento dei dati sensibili da parte dei  liberi
professionisti. (Autorizzazione n. 4/2013). (13A10498)
(GU n.302 del 27-12-2013) 


                    IL GARANTE PER LA PROTEZIONE
                         DEI DATI PERSONALI

  In data odierna, con la partecipazione del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  dott.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
Codice in materia  di  protezione  dei  dati  personali  (di  seguito
«Codice»);
  Visto, in particolare, l'art. 4, comma 1, lettera  d),  del  citato
Codice, il quale individua i dati sensibili;
  Considerato che, ai sensi dell'art. 26,  comma  1,  del  Codice,  i
soggetti privati e gli enti pubblici  economici  possono  trattare  i
dati sensibili solo previa autorizzazione di questa autorita' e,  ove
necessario,   con   il   consenso    scritto    degli    interessati,
nell'osservanza dei presupposti e dei limiti  stabiliti  dal  Codice,
nonche' dalla legge e dai regolamenti;
  Visto il comma 4, lettera  c),  del  medesimo  art.  26,  il  quale
stabilisce che i dati sensibili possono essere oggetto di trattamento
anche senza consenso, previa autorizzazione del  Garante,  quando  il
trattamento medesimo e' necessario ai fini  dello  svolgimento  delle
investigazioni difensive ai sensi della legge 7 dicembre 2000, n. 397
o, comunque per  far  valere  o  difendere  in  sede  giudiziaria  un
diritto, sempre che i dati siano  trattati  esclusivamente  per  tali
finalita'  e  per  il  periodo  strettamente   necessario   al   loro
perseguimento, e che, quando i dati siano idonei a rivelare lo  stato
di salute e la vita sessuale il diritto sia di rango  pari  a  quello
dell'interessato, ovvero consista in un diritto della personalita'  o
in altri diritti o liberta' fondamentali;
  Considerato che il trattamento dei dati in  questione  puo'  essere
autorizzato  dal  Garante  anche  d'ufficio  con   provvedimenti   di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
  Considerato che le  autorizzazioni  di  carattere  generale  sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti  di  autorizzazione  da  parte  di
numerosi titolari del trattamento;
  Ritenuto opportuno rilasciare nuove autorizzazioni in  sostituzione
di  quelle  in  scadenza  il  31  dicembre  2013,   armonizzando   le
prescrizioni gia' impartite alla luce dell'esperienza maturata;
  Ritenuto  opportuno  che  anche  tali  nuove  autorizzazioni  siano
provvisorie e a tempo determinato, ai sensi dell'art.  41,  comma  5,
del Codice e, in particolare, efficaci per il periodo di dodici mesi;
  Considerata la  necessita'  di  garantire  il  rispetto  di  alcuni
principi volti a ridurre al minimo i rischi di danno  o  di  pericolo
che i trattamenti potrebbero comportare per i diritti e  le  liberta'
fondamentali,  nonche'  per  la  dignita'  delle   persone,   e,   in
particolare, per  il  diritto  alla  protezione  dei  dati  personali
sancito dall'art. 1 del Codice;
  Considerato che un elevato numero di trattamenti di dati  sensibili
e' effettuato da liberi professionisti iscritti  in  albi  o  elenchi
professionali   per   l'espletamento   delle   rispettive   attivita'
professionali;
  Visto l'art. 11, comma 2, del Codice, il  quale  stabilisce  che  i
dati trattati in violazione della disciplina rilevante in materia  di
trattamento di dati personali non possono essere utilizzati;
  Visti gli articoli 31 e  seguenti  del  Codice  e  il  disciplinare
tecnico di cui all'allegato B) al medesimo  Codice  recanti  norme  e
regole sulle misure di sicurezza;
  Visto l'art. 41 del Codice;
  Visti  gli  articoli  42  e  seguenti  del  Codice  in  materia  di
trasferimento di dati personali all'estero;
  Visto l'art. 167 del Codice;
  Visti gli atti d'ufficio;
  Viste  le  osservazioni  dell'ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore la dott.ssa Augusta Iannini;

                             Autorizza:

  I liberi professionisti iscritti in albi o elenchi professionali  a
trattare i dati sensibili di cui all'art. 4, comma 1, lettera d), del
Codice, secondo le prescrizioni di seguito indicate.
  Prima di iniziare o proseguire il trattamento i sistemi informativi
e i  programmi  informatici  sono  configurati  riducendo  al  minimo
l'utilizzazione di dati personali e di dati identificativi,  in  modo
da escluderne il  trattamento  quando  le  finalita'  perseguite  nei
singoli casi possono  essere  realizzate  mediante,  rispettivamente,
dati anonimi od opportune modalita' che  permettano  di  identificare
l'interessato solo in caso di necessita', in conformita'  all'art.  3
del Codice.
1) Ambito di applicazione.
  L'autorizzazione e' rilasciata, anche senza  richiesta,  ai  liberi
professionisti tenuti ad iscriversi in albi o elenchi per l'esercizio
di un'attivita' professionale in forma individuale o associata, anche
in conformita' al decreto legislativo 2 febbraio 2001, n. 96, o  alle
norme di attuazione dell'art. 24, comma 2, della legge 7 agosto 1997,
n. 266, in tema di attivita' di assistenza e consulenza.
  Sono equiparati ai liberi professionisti i  soggetti  iscritti  nei
corrispondenti albi o  elenchi  speciali  istituiti  anche  ai  sensi
dell'art. 34 del regio decreto-legge 27  novembre  1933,  n.  1578  e
successive modificazioni e integrazioni, recante l'ordinamento  della
professione di avvocato.
  L'autorizzazione e' rilasciata anche ai sostituti e agli  ausiliari
che collaborano con il libero professionista ai sensi dell'art.  2232
del codice civile, ai praticanti e ai tirocinanti  presso  il  libero
professionista, qualora tali soggetti siano titolari di  un  autonomo
trattamento o siano contitolari del trattamento effettuato dal libero
professionista.
  Il presente provvedimento non si applica al  trattamento  dei  dati
sensibili effettuato:
    a) dagli esercenti le professioni sanitarie  e  dagli  psicologi,
dal   personale   sanitario   infermieristico,   tecnico   e    della
riabilitazione, ai quali si riferisce  l'autorizzazione  generale  n.
2/2013;
    b)  per  la  gestione  delle   prestazioni   di   lavoro   o   di
collaborazione di cui si avvale il libero professionista o taluno dei
soggetti sopra indicati, alla  quale  si  riferisce  l'autorizzazione
generale n. 1/2013;
    c) da soggetti privati che svolgono attivita' investigative,  dai
giornalisti, dai pubblicisti e dai praticanti giornalisti di cui agli
articoli 26 e 33 della legge 3 febbraio 1963, n. 69.
2) Interessati ai quali i dati si riferiscono e categorie di dati.
  Il  trattamento  puo'  riguardare  i  dati  sensibili  relativi  ai
clienti.
  I dati sensibili relativi ai terzi possono essere trattati ove cio'
sia  strettamente  indispensabile  per  l'esecuzione  di   specifiche
prestazioni professionali richieste dai clienti per scopi determinati
e legittimi.
  In ogni caso, i dati devono essere strettamente  pertinenti  e  non
eccedenti rispetto ad incarichi  conferiti  che  non  possano  essere
svolti mediante il trattamento di dati anonimi o di dati personali di
natura diversa.
  Il trattamento dei dati idonei a rivelare lo stato di salute  e  la
vita sessuale deve essere effettuato anche nel rispetto della  citata
autorizzazione generale n. 2/2013.
3) Finalita' del trattamento.
  Il trattamento dei dati sensibili puo' essere  effettuato  ai  soli
fini dell'espletamento di un incarico che rientri tra quelli  che  il
libero professionista puo' eseguire in base  al  proprio  ordinamento
professionale, e in particolare:
  a) per curare gli adempimenti in materia di lavoro,  di  previdenza
ed assistenza sociale e fiscale nell'interesse di altri soggetti  che
sono parte di un rapporto di lavoro dipendente o autonomo,  ai  sensi
della legge 11 gennaio 1979, n. 12, che disciplina la professione  di
consulente del lavoro;
    b) ai  fini  dello  svolgimento  da  parte  del  difensore  delle
investigazioni difensive di cui alla legge 7 dicembre 2000,  n.  397,
anche a mezzo di sostituti e di consulenti tecnici, o, comunque,  per
far valere o difendere un diritto anche da parte di un terzo in  sede
giudiziaria, nonche' in sede  amministrativa  o  nelle  procedure  di
arbitrato e  di  conciliazione  nei  casi  previsti  dalla  normativa
comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
Qualora i dati siano idonei a rivelare lo stato di salute e  la  vita
sessuale, il diritto da far valere o difendere deve essere  di  rango
pari a quello dell'interessato,  ovvero  consistente  in  un  diritto
della personalita' o in un altro diritto o  liberta'  fondamentale  e
inviolabile;
    c)  per  l'esercizio  del  diritto  di   accesso   ai   documenti
amministrativi, nei limiti di quanto  stabilito  dalle  leggi  e  dai
regolamenti in materia, salvo quanto previsto dall'art. 60 del codice
in relazione ai dati sullo stato di salute e sulla vita sessuale.
4) Modalita' di trattamento.
  Il trattamento dei dati sensibili deve essere effettuato unicamente
con logiche e mediante forme di organizzazione dei dati  strettamente
indispensabili in rapporto all'incarico conferito dal cliente.
  Restano fermi gli obblighi previsti dagli  articoli  11  e  14  del
Codice,  nonche'  dagli  articoli  31  e  seguenti   del   Codice   e
dall'allegato B) al medesimo Codice.
  Resta inoltre fermo l'obbligo di informare l'interessato  ai  sensi
dell'art. 13, commi 1, 4 e 5, del Codice, anche quando  i  dati  sono
raccolti presso terzi, e di acquisire, ove  necessario,  il  consenso
scritto. L'avvocato puo' fornire tale informativa e  le  notizie  che
deve indicare ai sensi della disciplina sulle indagini  difensive  in
un unico contesto, anche mediante affissione nei locali dello  Studio
e, se ne dispone, pubblicazione  sul  proprio  sito  Internet,  anche
utilizzando formule sintetiche e colloquiali.
  Se i dati sono raccolti per  l'esercizio  di  un  diritto  in  sede
giudiziaria o per  le  indagini  difensive  (punto  3),  lettera  b),
l'informativa relativa ai dati raccolti presso terzi, e  il  consenso
scritto, sono necessari solo se i dati sono trattati per  un  periodo
superiore a quello strettamente necessario al perseguimento  di  tali
finalita', oppure per altre finalita' con esse non incompatibili.
  Le informative devono  permettere  all'interessato  di  comprendere
agevolmente  se  il  titolare   del   trattamento   e'   un   singolo
professionista o un'associazione di professionisti, ovvero se ricorre
un'ipotesi di contitolarita' tra  piu'  liberi  professionisti  o  di
esercizio della professione in forma societaria ai sensi del  decreto
legislativo 2 febbraio 2001, n. 96.
  Resta ferma la facolta'  del  libero  professionista  di  designare
quali responsabili o incaricati  del  trattamento  i  sostituti,  gli
ausiliari,  i  tirocinanti  e   i   praticanti   presso   il   libero
professionista, i quali, in tal caso, possono avere accesso  ai  soli
dati strettamente pertinenti alla collaborazione ad essi richiesta.
  Analoga cautela deve essere adottata in riferimento agli incaricati
del trattamento preposti all'espletamento di compiti amministrativi.
5) Conservazione dei dati.
  Nel quadro del rispetto dell'obbligo previsto dall'art.  11,  comma
1,  lettera  e),  del  Codice,  i  dati  sensibili   possono   essere
conservati,  per  il  periodo  di  tempo  previsto  dalla   normativa
comunitaria, da leggi, o da regolamenti e, comunque, per  un  periodo
non superiore a quello strettamente  necessario  per  adempiere  agli
incarichi conferiti.
  A  tal  fine,  anche  mediante  controlli  periodici,  deve  essere
verificata la stretta pertinenza, non eccedenza  e  indispensabilita'
dei dati rispetto agli incarichi in corso, da instaurare  o  cessati,
anche con riferimento ai dati che l'interessato fornisce  di  propria
iniziativa. I dati che, anche a seguito  delle  verifiche,  risultano
eccedenti o non pertinenti o non indispensabili  non  possono  essere
utilizzati, salvo che  per  l'eventuale  conservazione,  a  norma  di
legge,  dell'atto  o  del  documento  che  li   contiene.   Specifica
attenzione e' prestata per l'indispensabilita' dei  dati  riferiti  a
soggetti  diversi  da  quelli  cui  si  riferiscono  direttamente  le
prestazioni e gli adempimenti.
  I dati acquisiti  in  occasione  di  precedenti  incarichi  possono
essere  mantenuti  se  pertinenti,  non  eccedenti  e  indispensabili
rispetto a successivi incarichi.
6) Comunicazione e diffusione dei dati.
  I  dati  sensibili  possono  essere  comunicati  e  ove  necessario
diffusi, a soggetti  pubblici  o  privati,  nei  limiti  strettamente
pertinenti all'espletamento dell'incarico conferito e  nel  rispetto,
in ogni caso, del segreto professionale.
  I dati  idonei  a  rivelare  lo  stato  di  salute  possono  essere
comunicati  solo  se  necessario  per   finalita'   di   prevenzione,
accertamento o repressione dei reati, con  l'osservanza  delle  norme
che regolano la materia.
  I dati relativi allo stato di  salute  e  alla  vita  sessuale  non
possono essere diffusi.
7) Richieste di autorizzazione.
  I  titolari  dei   trattamenti   che   rientrano   nell'ambito   di
applicazione  della  presente  autorizzazione  non  sono   tenuti   a
presentare  una  richiesta  di  autorizzazione  a  questa  autorita',
qualora il trattamento che si intende effettuare  sia  conforme  alle
prescrizioni suddette.
  Le richieste di autorizzazione pervenute o  che  perverranno  anche
successivamente alla data di  adozione  del  presente  provvedimento,
devono  intendersi  accolte  nei  termini  di  cui  al  provvedimento
medesimo.
  Il  Garante  non   prendera'   in   considerazione   richieste   di
autorizzazione per trattamenti da  effettuarsi  in  difformita'  alle
prescrizioni  del  presente  provvedimento,  salvo  che,   ai   sensi
dell'art. 41 del Codice, il loro  accoglimento  sia  giustificato  da
circostanze del tutto particolari o  da  situazioni  eccezionali  non
considerate nella presente autorizzazione.
8) Norme finali.
  Restano fermi  gli  obblighi  previsti  da  norme  di  legge  o  di
regolamento o dalla normativa comunitaria che stabiliscono divieti  o
limiti piu' restrittivi in materia di trattamento di  dati  personali
e, in particolare, dalle leggi 20 maggio 1970, n.  300,  e  5  giugno
1990, n. 135, come modificata dall'art. 178 del Codice, nonche' dalle
norme volte a prevenire discriminazioni.
  Restano fermi, altresi', gli  obblighi  di  legge  che  vietano  la
rivelazione senza  giusta  causa  e  l'impiego  a  proprio  o  altrui
profitto delle notizie coperte dal segreto professionale, nonche' gli
obblighi deontologici o  di  buona  condotta  relativi  alle  singole
figure professionali.
9) Efficacia temporale.
  La presente autorizzazione ha efficacia a decorrere dal 1°  gennaio
2014 e fino al 31 dicembre 2014, salve  eventuali  modifiche  che  il
Garante ritenga  di  dover  apportare  in  conseguenza  di  eventuali
novita' normative rilevanti in materia.
  La  presente  autorizzazione  sara'   pubblicata   nella   Gazzetta
Ufficiale della Repubblica italiana.
    Roma, 12 dicembre 2013

                            Il presidente
                                Soro


                             Il relatore
                               Iannini


                       Il segretario generale
                                Busia