IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici, della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
Codice in materia di protezione dei dati personali (di seguito
«Codice»);
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato
Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i
soggetti privati e gli enti pubblici economici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorita' e, ove
necessario, con il consenso scritto degli interessati,
nell'osservanza dei presupposti e dei limiti stabiliti dal Codice,
nonche' dalla legge e dai regolamenti;
Visto l'art. 76 del Codice, secondo cui gli esercenti le
professioni sanitarie e gli organismi sanitari pubblici, anche
nell'ambito di un'attivita' di rilevante interesse pubblico ai sensi
dell'art. 85 del medesimo Codice, possono trattare i dati personali
idonei a rivelare lo stato di salute anche senza il consenso
dell'interessato, previa autorizzazione del Garante, se il
trattamento riguarda dati e operazioni indispensabili per perseguire
una finalita' di tutela della salute o dell'incolumita' fisica di un
terzo o della collettivita';
Considerato che il trattamento dei dati in questione puo' essere
autorizzato dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sin ora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti di autorizzazione da parte di
numerosi titolari del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione
di quelle in scadenza il 31 dicembre 2014, armonizzando le
prescrizioni gia' impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano
provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5,
del Codice e, in particolare, efficaci per il periodo di ventiquattro
mesi;
Considerata la necessita' di garantire il rispetto di alcuni
principi volti a ridurre al minimo i rischi di danno o di pericolo
che i trattamenti potrebbero comportare per i diritti e le liberta'
fondamentali, nonche' per la dignita' delle persone, e, in
particolare, per il diritto alla protezione dei dati personali
sancito dall'art. 1 del Codice, principi valutati anche sulla base
delle raccomandazioni adottate in materia di dati sanitari dal
Consiglio d'Europa ed in particolare dalla Raccomandazione N. R (97)
5, in base alla quale i dati sanitari devono essere trattati, di
regola, solo nell'ambito dell'assistenza sanitaria o sulla base di
regole di segretezza e di efficacia pari a quelle previste in tale
ambito;
Considerato che un elevato numero di trattamenti idonei a rivelare
lo stato di salute e la vita sessuale e' effettuato per finalita' di
prevenzione o di cura, per la gestione di servizi socio-sanitari, per
ricerche scientifiche o per la fornitura all'interessato di
prestazioni, beni o servizi;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i
dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli artt. 31 e seguenti del Codice e il disciplinare tecnico
di cui all'Allegato B) al medesimo Codice recanti norme e regole
sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli artt. 42 e seguenti del Codice in materia di
trasferimento di dati personali all'estero;
Visto l'art. 167 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
Autorizza:
a) gli esercenti le professioni sanitarie a trattare i dati idonei
a rivelare lo stato di salute, qualora i dati e le operazioni siano
indispensabili per tutelare l'incolumita' fisica o la salute di un
terzo o della collettivita', e il consenso non sia prestato o non
possa essere prestato per effettiva irreperibilita';
b) gli organismi e le case di cura private, nonche' ogni altro
soggetto privato, a trattare con il consenso i dati idonei a rivelare
lo stato di salute e la vita sessuale;
c) gli organismi sanitari pubblici, istituiti anche presso
universita', ivi compresi i soggetti pubblici allorche' agiscano
nella qualita' di autorita' sanitarie, a trattare i dati idonei a
rivelare lo stato di salute, qualora ricorrano contemporaneamente le
seguenti condizioni:
1) il trattamento sia finalizzato alla tutela dell'incolumita'
fisica e della salute di un terzo o della collettivita';
2) manchi il consenso (art. 76, comma 1, lett. b), del Codice),
in quanto non sia prestato o non possa essere prestato per effettiva
irreperibilita';
3) non si tratti di attivita' amministrative correlate a quelle
di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art.
85, commi 1 e 2, del Codice;
d) anche soggetti diversi da quelli di cui alle lettere a), b) e c)
a trattare i dati idonei a rivelare lo stato di salute e la vita
sessuale, qualora il trattamento sia necessario per la salvaguardia
della vita o dell'incolumita' fisica di un terzo. Se la medesima
finalita' riguarda l'interessato e quest'ultimo non puo' prestare il
proprio consenso per impossibilita' fisica, per incapacita' di agire
o per incapacita' d'intendere o di volere, il consenso e' manifestato
da chi esercita legalmente la potesta', ovvero da un prossimo
congiunto, da un familiare, da un convivente o, in loro assenza, dal
responsabile della struttura presso cui dimora l'interessato.
Per l'informativa e, ove previsto, il consenso si osservano anche
le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82 del
Codice.
1) Ambito di applicazione e finalita' del trattamento.
1.1. L'autorizzazione e' rilasciata:
a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli
psicologi e agli altri esercenti le professioni sanitarie iscritti in
albi o in elenchi;
b) al personale sanitario infermieristico, tecnico e della
riabilitazione che esercita l'attivita' in regime di libera
professione;
c) alle istituzioni e agli organismi sanitari privati, anche
quando non operino in rapporto con il servizio sanitario nazionale.
In tali casi, l'autorizzazione e' rilasciata anche per consentire
ai destinatari di adempiere o di esigere l'adempimento di specifici
obblighi o di eseguire specifici compiti previsti da leggi, dalla
normativa comunitaria o da regolamenti, in particolare in materia di
igiene e di sanita' pubblica, di prevenzione delle malattie
professionali e degli infortuni, di diagnosi e cura, ivi compresi i
trapianti di organi e tessuti, di riabilitazione degli stati di
invalidita' e di inabilita' fisica e psichica, di profilassi delle
malattie infettive e diffusive, di tutela della salute mentale, di
assistenza farmaceutica, di medicina scolastica e di assistenza
sanitaria alle attivita' sportive o di accertamento, in conformita'
alla legge, degli illeciti previsti dall'ordinamento sportivo. Il
trattamento puo' riguardare anche la compilazione di cartelle
cliniche, di certificati e di altri documenti di tipo sanitario,
ovvero di altri documenti relativi alla gestione amministrativa la
cui utilizzazione sia necessaria per i fini appena indicati.
Qualora il perseguimento di tali fini richieda l'espletamento di
compiti di organizzazione o di gestione amministrativa, i destinatari
della presente autorizzazione devono esigere che i responsabili e gli
incaricati del trattamento preposti a tali compiti osservino le
stesse regole di segretezza alle quali sono sottoposti i medesimi
destinatari della presente autorizzazione, nel rispetto di quanto
previsto anche dall'art. 83, comma 1, del Codice.
1.2. L'autorizzazione e' rilasciata, altresi', ai seguenti
soggetti:
a) alle persone fisiche o giuridiche, agli enti, alle
associazioni e agli altri organismi privati, per scopi di ricerca
scientifica, anche statistica, finalizzata alla tutela della salute
dell'interessato, di terzi o della collettivita' in campo medico,
biomedico o epidemiologico, allorche' si debba intraprendere uno
studio delle relazioni tra i fattori di rischio e la salute umana
anche con riguardo a studi nell'ambito della sperimentazione clinica
di farmaci, o indagini su interventi sanitari di tipo diagnostico,
terapeutico o preventivo, ovvero sull'utilizzazione di strutture
socio-sanitarie, e la disponibilita' di dati solo anonimi su campioni
della popolazione non permetta alla ricerca di raggiungere i suoi
scopi. In tali casi, il trattamento puo' comprendere anche dati
idonei a rivelare la vita sessuale e l'origine razziale ed etnica
solo ove indispensabili per il raggiungimento delle finalita' della
ricerca. Inoltre, occorre acquisire il consenso (in conformita' a
quanto previsto dagli artt. 106, 107 e 110 del Codice), e il
trattamento successivo alla raccolta non deve permettere di
identificare gli interessati anche indirettamente, salvo che
l'abbinamento al materiale di ricerca dei dati identificativi
dell'interessato sia temporaneo ed essenziale per il risultato della
ricerca, e sia motivato, altresi', per iscritto. I risultati della
ricerca non possono essere diffusi se non in forma anonima. Resta
fermo quanto previsto dall'art. 98 del Codice;
b) alle organizzazioni di volontariato o assistenziali,
limitatamente ai dati e alle operazioni indispensabili per perseguire
scopi determinati e legittimi previsti, in particolare, nelle
rispettive norme statutarie;
c) alle comunita' di recupero e di accoglienza, alle case di cura
e di riposo, limitatamente ai dati e alle operazioni indispensabili
per perseguire scopi determinati e legittimi previsti, in
particolare, nelle rispettive norme statutarie;
d) agli enti, alle associazioni e alle organizzazioni religiose
riconosciute, relativamente ai dati e alle operazioni indispensabili
per perseguire scopi determinati e legittimi nei limiti di quanto
stabilito dall'art. 26, comma 4, lett. a), del Codice, fermo restando
quanto previsto per le confessioni religiose dagli articoli 26, comma
3, lett. a), e 181, comma 6, del Codice e dall'autorizzazione n.
3/2014;
e) alle persone fisiche o giuridiche, alle imprese, anche
sociali, agli enti, alle associazioni e ad altri organismi,
limitatamente ai dati, ove necessario attinenti anche alla vita
sessuale, e alle operazioni indispensabili per adempiere agli
obblighi, anche precontrattuali, derivanti da un rapporto di
fornitura all'interessato di beni, di prestazioni o di servizi.
Se il rapporto intercorre con imprese assicurative o istituti di
credito, devono considerarsi indispensabili i soli dati ed operazioni
strettamente necessari per fornire specifici prodotti o servizi
richiesti dall'interessato. Il rapporto puo' riguardare anche la
fornitura di strumenti di ausilio per la vista, per l'udito o per la
deambulazione;
f) alle persone fisiche o giuridiche, agli enti, alle
associazioni e agli altri organismi che gestiscono impianti o
strutture sportive, limitatamente ai dati idonei a rivelare lo stato
di salute e alle operazioni indispensabili per accertare l'idoneita'
fisica alla partecipazione ad attivita' sportive o agonistiche;
g) alle persone fisiche o giuridiche e ad altri organismi,
limitatamente ai dati dei beneficiari e dei donatori e alle
operazioni indispensabili per effettuare trapianti di organi e
tessuti, nonche' donazioni di sangue.
1.3. La presente autorizzazione e' rilasciata, altresi', quando il
trattamento dei dati idonei a rivelare lo stato di salute e la vita
sessuale sia necessario per:
a) lo svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere
un diritto anche da parte di un terzo in sede giudiziaria, nonche' in
sede amministrativa o nelle procedure di arbitrato e di conciliazione
nei casi previsti dalle leggi, dalla normativa comunitaria, dai
regolamenti o dai contratti collettivi, sempre che il diritto sia di
rango pari a quello dell'interessato, ovvero consistente in un
diritto della personalita' o in altro diritto o liberta' fondamentale
e inviolabile, e i dati siano trattati esclusivamente per tali
finalita' e per il periodo strettamente necessario per il loro
perseguimento;
b) adempiere o esigere l'adempimento di specifici obblighi o per
eseguire specifici compiti previsti dalla normativa comunitaria, da
leggi, da regolamenti o da contratti collettivi per la gestione del
rapporto di lavoro, nonche' dalla normativa in materia di previdenza
e assistenza o in materia di igiene e sicurezza del lavoro o della
popolazione, nei limiti previsti dalla autorizzazione generale del
Garante n. 1/2014 e ferme restando le disposizioni del codice di
deontologia e di buona condotta di cui all'art. 111 del Codice.
1.4. Il trattamento di dati genetici resta autorizzato nei limiti e
alle condizioni individuati nell'autorizzazione adottata ai sensi
dell'art. 90 del Codice.
2) Categorie di dati oggetto di trattamento.
Prima di iniziare o proseguire il trattamento i sistemi informativi
e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo
da escluderne il trattamento quando le finalita' perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente,
dati anonimi od opportune modalita' che permettano di identificare
l'interessato solo in caso di necessita', in conformita' all'art. 3
del Codice.
Il trattamento puo' avere per oggetto i dati strettamente
pertinenti ai sopra indicati obblighi, compiti o finalita' che non
possano essere adempiuti o realizzati, caso per caso, mediante il
trattamento di dati anonimi o di dati personali di natura diversa, e
puo' comprendere le informazioni relative a stati di salute
pregressi.
Devono essere considerate sottoposte all'ambito di applicazione
della presente autorizzazione anche le informazioni relative ai
nascituri, che devono essere trattate alla stregua dei dati personali
in conformita' a quanto previsto dalla citata raccomandazione N. R
(97) 5 del Consiglio d'Europa.
3) Modalita' di trattamento.
Fermi restando gli obblighi previsti dagli artt. 11 e 14 del
Codice, nonche' dagli artt. 31 e seguenti del Codice e dall'Allegato
B) al medesimo Codice, il trattamento dei dati oggetto della presente
autorizzazione deve essere effettuato unicamente con operazioni,
nonche' con logiche e mediante forme di organizzazione dei dati
strettamente indispensabili in rapporto ai sopra indicati obblighi,
compiti o finalita'.
I dati sono raccolti, di regola, presso l'interessato.
La comunicazione di dati all'interessato deve avvenire di regola
direttamente a quest'ultimo o a un suo delegato (fermo restando
quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o
con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti
non autorizzati, anche attraverso la previsione di distanze di
cortesia.
Per le informazioni relative ai nascituri, il consenso e' prestato
dalla gestante. Dopo il raggiungimento della maggiore eta'
l'informativa e' fornita all'interessato anche ai fini della
acquisizione di una nuova manifestazione del consenso quando questo
e' necessario (art. 82, comma 4, del Codice).
4) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma
1, lett. e) del Codice, i dati possono essere conservati per un
periodo non superiore a quello necessario per adempiere agli obblighi
o ai compiti sopra indicati, ovvero per perseguire le finalita' ivi
menzionate. A tal fine, anche mediante controlli periodici, deve
essere verificata costantemente la stretta pertinenza, non eccedenza
e indispensabilita' dei dati rispetto al rapporto, alla prestazione o
all'incarico in corso, da instaurare o cessati, anche con riferimento
ai dati che l'interessato fornisce di propria iniziativa. I dati che,
anche a seguito delle verifiche, risultano eccedenti o non pertinenti
o non indispensabili non possono essere utilizzati, salvo che per
l'eventuale conservazione, a norma di legge, dell'atto o del
documento che li contiene.
Specifica attenzione e' prestata per l'indispensabilita' dei dati
riferiti a soggetti diversi da quelli cui si riferiscono direttamente
le prestazioni e gli adempimenti.
5) Comunicazione e diffusione dei dati.
Salvo quanto previsto per i dati genetici nell'autorizzazione
adottata ai sensi dell'art. 90 del Codice, i dati idonei a rivelare
lo stato di salute possono essere comunicati, nei limiti strettamente
pertinenti agli obblighi, ai compiti e alle finalita' di cui al punto
1), a soggetti pubblici e privati, ivi compresi i fondi e le casse di
assistenza sanitaria integrativa, le aziende che svolgono attivita'
strettamente correlate all'esercizio di professioni sanitarie o alla
fornitura all'interessato di beni, di prestazioni o di servizi, gli
istituti di credito e le imprese assicurative, le associazioni od
organizzazioni di volontariato e i familiari dell'interessato.
Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati
idonei a rivelare lo stato di salute non possono essere diffusi.
I dati idonei a rivelare la vita sessuale non possono essere
diffusi, salvo il caso in cui la diffusione riguardi dati resi
manifestamente pubblici dall'interessato e per i quali l'interessato
stesso non abbia manifestato successivamente la sua opposizione per
motivi legittimi.
6) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorita',
qualora il trattamento che si intende effettuare sia conforme alle
prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento
medesimo.
Il Garante non prendera' in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformita' alle
prescrizioni del presente provvedimento, salvo che, ai sensi
dell'art. 41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione, relative, ad esempio, al
caso in cui la raccolta del consenso comporti un impiego di mezzi
manifestamente sproporzionato in ragione, in particolare, del numero
di persone interessate.
7) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di
regolamento o dalla normativa comunitaria che stabiliscono divieti o
limiti piu' restrittivi in materia di trattamento di dati personali
e, in particolare:
a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135, come
modificato dall'art. 178 del Codice, secondo cui la rilevazione
statistica della infezione da HIV deve essere effettuata con
modalita' che non consentano l'identificazione della persona;
b) dall'art. 11 della legge 22 maggio 1978, n. 194, il quale
dispone che l'ente ospedaliero, la casa di cura o il poliambulatorio
nei quali e' effettuato un intervento di interruzione di gravidanza
devono inviare all'autorita' sanitaria competente per territorio una
dichiarazione che non faccia menzione dell'identita' della donna;
c) dall'art. 734-bis del codice penale, il quale vieta la
divulgazione non consensuale delle generalita' o dell'immagine della
persona offesa da atti di violenza sessuale.
Restano altresi' fermi gli obblighi di legge che vietano la
rivelazione senza giusta causa e l'impiego a proprio o altrui
profitto delle notizie coperte dal segreto professionale, nonche' gli
obblighi deontologici previsti, in particolare, dal codice di
deontologia medica adottato dalla Federazione nazionale degli ordini
dei medici chirurghi e degli odontoiatri.
Resta ferma, infine, la possibilita' di diffondere dati anonimi
anche aggregati e di includerli, in particolare, nelle pubblicazioni
a contenuto scientifico o finalizzate all'educazione, alla
prevenzione o all'informazione di carattere sanitario.
8) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio
2015 fino al 31 dicembre 2016, salve eventuali modifiche che il
Garante ritenga di dover apportare in conseguenza di eventuali
novita' normative rilevanti in materia.
La presente autorizzazione sara' pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 11 dicembre 2014
Il Presidente: Soro
Il relatore: Bianchi Clerici
Il segretario generale: Busia
Nessun commento:
Posta un commento