Translate

mercoledì 31 dicembre 2014

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI AUTORIZZAZIONE 11 dicembre 2014 Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale. (Autorizzazione n. 2/2014). (14A09912) (GU n.301 del 30-12-2014)



         GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

AUTORIZZAZIONE 11 dicembre 2014 
Autorizzazione al trattamento dei dati idonei a rivelare lo stato  di
salute e la vita sessuale. (Autorizzazione n. 2/2014). (14A09912) 
(GU n.301 del 30-12-2014)

 
 
 
           IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI 
 
  In data odierna, con la partecipazione del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici,  della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale; 
  Visto il decreto legislativo 30 giugno 2003,  n.  196,  recante  il
Codice in materia  di  protezione  dei  dati  personali  (di  seguito
«Codice»); 
  Visto, in particolare, l'art. 4, comma  1,  lett.  d),  del  citato
Codice, il quale individua i dati sensibili; 
  Considerato che, ai sensi dell'art. 26,  comma  1,  del  Codice,  i
soggetti privati e gli enti pubblici  economici  possono  trattare  i
dati sensibili solo previa autorizzazione di questa Autorita' e,  ove
necessario,   con   il   consenso    scritto    degli    interessati,
nell'osservanza dei presupposti e dei limiti  stabiliti  dal  Codice,
nonche' dalla legge e dai regolamenti; 
  Visto  l'art.  76  del  Codice,  secondo  cui  gli   esercenti   le
professioni  sanitarie  e  gli  organismi  sanitari  pubblici,  anche
nell'ambito di un'attivita' di rilevante interesse pubblico ai  sensi
dell'art. 85 del medesimo Codice, possono trattare i  dati  personali
idonei a  rivelare  lo  stato  di  salute  anche  senza  il  consenso
dell'interessato,  previa   autorizzazione   del   Garante,   se   il
trattamento riguarda dati e operazioni indispensabili per  perseguire
una finalita' di tutela della salute o dell'incolumita' fisica di  un
terzo o della collettivita'; 
  Considerato che il trattamento dei dati in  questione  puo'  essere
autorizzato  dal  Garante  anche  d'ufficio  con   provvedimenti   di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice); 
  Considerato che le autorizzazioni di  carattere  generale  sin  ora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti  di  autorizzazione  da  parte  di
numerosi titolari del trattamento; 
  Ritenuto opportuno rilasciare nuove autorizzazioni in  sostituzione
di  quelle  in  scadenza  il  31  dicembre  2014,   armonizzando   le
prescrizioni gia' impartite alla luce dell'esperienza maturata; 
  Ritenuto  opportuno  che  anche  tali  nuove  autorizzazioni  siano
provvisorie e a tempo determinato, ai sensi dell'art.  41,  comma  5,
del Codice e, in particolare, efficaci per il periodo di ventiquattro
mesi; 
  Considerata la  necessita'  di  garantire  il  rispetto  di  alcuni
principi volti a ridurre al minimo i rischi di danno  o  di  pericolo
che i trattamenti potrebbero comportare per i diritti e  le  liberta'
fondamentali,  nonche'  per  la  dignita'  delle   persone,   e,   in
particolare, per  il  diritto  alla  protezione  dei  dati  personali
sancito dall'art. 1 del Codice, principi valutati  anche  sulla  base
delle raccomandazioni  adottate  in  materia  di  dati  sanitari  dal
Consiglio d'Europa ed in particolare dalla Raccomandazione N. R  (97)
5, in base alla quale i dati  sanitari  devono  essere  trattati,  di
regola, solo nell'ambito dell'assistenza sanitaria o  sulla  base  di
regole di segretezza e di efficacia pari a quelle  previste  in  tale
ambito; 
  Considerato che un elevato numero di trattamenti idonei a  rivelare
lo stato di salute e la vita sessuale e' effettuato per finalita'  di
prevenzione o di cura, per la gestione di servizi socio-sanitari, per
ricerche  scientifiche  o  per  la   fornitura   all'interessato   di
prestazioni, beni o servizi; 
  Visto l'art. 11, comma 2, del Codice, il  quale  stabilisce  che  i
dati trattati in violazione della disciplina rilevante in materia  di
trattamento di dati personali non possono essere utilizzati; 
  Visti gli artt. 31 e seguenti del Codice e il disciplinare  tecnico
di cui all'Allegato B) al medesimo  Codice  recanti  norme  e  regole
sulle misure di sicurezza; 
  Visto l'art. 41 del Codice; 
  Visti  gli  artt.  42  e  seguenti  del  Codice   in   materia   di
trasferimento di dati personali all'estero; 
  Visto l'art. 167 del Codice; 
  Visti gli atti d'ufficio; 
  Viste  le  osservazioni  dell'Ufficio  formulate   dal   segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; 
  Relatore la dott.ssa Giovanna Bianchi Clerici; 
 
                             Autorizza: 
 
  a) gli esercenti le professioni sanitarie a trattare i dati  idonei
a rivelare lo stato di salute, qualora i dati e le  operazioni  siano
indispensabili per tutelare l'incolumita' fisica o la  salute  di  un
terzo o della collettivita', e il consenso non  sia  prestato  o  non
possa essere prestato per effettiva irreperibilita'; 
  b) gli organismi e le case di  cura  private,  nonche'  ogni  altro
soggetto privato, a trattare con il consenso i dati idonei a rivelare
lo stato di salute e la vita sessuale; 
  c)  gli  organismi  sanitari  pubblici,  istituiti   anche   presso
universita', ivi compresi  i  soggetti  pubblici  allorche'  agiscano
nella qualita' di autorita' sanitarie, a trattare  i  dati  idonei  a
rivelare lo stato di salute, qualora ricorrano contemporaneamente  le
seguenti condizioni: 
    1) il trattamento sia finalizzato  alla  tutela  dell'incolumita'
fisica e della salute di un terzo o della collettivita'; 
    2) manchi il consenso (art. 76, comma 1, lett. b),  del  Codice),
in quanto non sia prestato o non possa essere prestato per  effettiva
irreperibilita'; 
    3) non si tratti di attivita' amministrative correlate  a  quelle
di prevenzione, diagnosi, cura e riabilitazione  ai  sensi  dell'art.
85, commi 1 e 2, del Codice; 
  d) anche soggetti diversi da quelli di cui alle lettere a), b) e c)
a trattare i dati idonei a rivelare lo stato  di  salute  e  la  vita
sessuale, qualora il trattamento sia necessario per  la  salvaguardia
della vita o dell'incolumita' fisica di  un  terzo.  Se  la  medesima
finalita' riguarda l'interessato e quest'ultimo non puo' prestare  il
proprio consenso per impossibilita' fisica, per incapacita' di  agire
o per incapacita' d'intendere o di volere, il consenso e' manifestato
da chi  esercita  legalmente  la  potesta',  ovvero  da  un  prossimo
congiunto, da un familiare, da un convivente o, in loro assenza,  dal
responsabile della struttura presso cui dimora l'interessato. 
  Per l'informativa e, ove previsto, il consenso si  osservano  anche
le disposizioni di cui agli articoli 13, 23, 26 e  da  75  a  82  del
Codice. 
1) Ambito di applicazione e finalita' del trattamento. 
  1.1. L'autorizzazione e' rilasciata: 
    a) ai medici-chirurghi, ai  farmacisti,  agli  odontoiatri,  agli
psicologi e agli altri esercenti le professioni sanitarie iscritti in
albi o in elenchi; 
    b)  al  personale  sanitario  infermieristico,  tecnico  e  della
riabilitazione  che  esercita  l'attivita'  in   regime   di   libera
professione; 
    c) alle istituzioni e  agli  organismi  sanitari  privati,  anche
quando non operino in rapporto con il servizio sanitario nazionale. 
  In tali casi, l'autorizzazione e' rilasciata anche  per  consentire
ai destinatari di adempiere o di esigere l'adempimento  di  specifici
obblighi o di eseguire specifici compiti  previsti  da  leggi,  dalla
normativa comunitaria o da regolamenti, in particolare in materia  di
igiene  e  di  sanita'  pubblica,  di  prevenzione   delle   malattie
professionali e degli infortuni, di diagnosi e cura, ivi  compresi  i
trapianti di organi e  tessuti,  di  riabilitazione  degli  stati  di
invalidita' e di inabilita' fisica e psichica,  di  profilassi  delle
malattie infettive e diffusive, di tutela della  salute  mentale,  di
assistenza farmaceutica,  di  medicina  scolastica  e  di  assistenza
sanitaria alle attivita' sportive o di accertamento,  in  conformita'
alla legge, degli illeciti  previsti  dall'ordinamento  sportivo.  Il
trattamento  puo'  riguardare  anche  la  compilazione  di   cartelle
cliniche, di certificati e di  altri  documenti  di  tipo  sanitario,
ovvero di altri documenti relativi alla  gestione  amministrativa  la
cui utilizzazione sia necessaria per i fini appena indicati. 
  Qualora il perseguimento di tali fini  richieda  l'espletamento  di
compiti di organizzazione o di gestione amministrativa, i destinatari
della presente autorizzazione devono esigere che i responsabili e gli
incaricati del trattamento  preposti  a  tali  compiti  osservino  le
stesse regole di segretezza alle quali  sono  sottoposti  i  medesimi
destinatari della presente autorizzazione,  nel  rispetto  di  quanto
previsto anche dall'art. 83, comma 1, del Codice. 
  1.2.  L'autorizzazione  e'  rilasciata,   altresi',   ai   seguenti
soggetti: 
    a)  alle  persone  fisiche  o   giuridiche,   agli   enti,   alle
associazioni e agli altri organismi privati,  per  scopi  di  ricerca
scientifica, anche statistica, finalizzata alla tutela  della  salute
dell'interessato, di terzi o della  collettivita'  in  campo  medico,
biomedico o epidemiologico,  allorche'  si  debba  intraprendere  uno
studio delle relazioni tra i fattori di rischio  e  la  salute  umana
anche con riguardo a studi nell'ambito della sperimentazione  clinica
di farmaci, o indagini su interventi sanitari  di  tipo  diagnostico,
terapeutico o  preventivo,  ovvero  sull'utilizzazione  di  strutture
socio-sanitarie, e la disponibilita' di dati solo anonimi su campioni
della popolazione non permetta alla ricerca  di  raggiungere  i  suoi
scopi. In tali casi,  il  trattamento  puo'  comprendere  anche  dati
idonei a rivelare la vita sessuale e  l'origine  razziale  ed  etnica
solo ove indispensabili per il raggiungimento delle  finalita'  della
ricerca. Inoltre, occorre acquisire il  consenso  (in  conformita'  a
quanto previsto dagli  artt.  106,  107  e  110  del  Codice),  e  il
trattamento  successivo  alla  raccolta  non   deve   permettere   di
identificare  gli  interessati  anche   indirettamente,   salvo   che
l'abbinamento  al  materiale  di  ricerca  dei  dati   identificativi
dell'interessato sia temporaneo ed essenziale per il risultato  della
ricerca, e sia motivato, altresi', per iscritto.  I  risultati  della
ricerca non possono essere diffusi se non  in  forma  anonima.  Resta
fermo quanto previsto dall'art. 98 del Codice; 
    b)  alle  organizzazioni   di   volontariato   o   assistenziali,
limitatamente ai dati e alle operazioni indispensabili per perseguire
scopi  determinati  e  legittimi  previsti,  in  particolare,   nelle
rispettive norme statutarie; 
    c) alle comunita' di recupero e di accoglienza, alle case di cura
e di riposo, limitatamente ai dati e alle  operazioni  indispensabili
per  perseguire  scopi   determinati   e   legittimi   previsti,   in
particolare, nelle rispettive norme statutarie; 
    d) agli enti, alle associazioni e alle  organizzazioni  religiose
riconosciute, relativamente ai dati e alle operazioni  indispensabili
per perseguire scopi determinati e legittimi  nei  limiti  di  quanto
stabilito dall'art. 26, comma 4, lett. a), del Codice, fermo restando
quanto previsto per le confessioni religiose dagli articoli 26, comma
3, lett. a), e 181, comma 6,  del  Codice  e  dall'autorizzazione  n.
3/2014; 
    e)  alle  persone  fisiche  o  giuridiche,  alle  imprese,  anche
sociali,  agli  enti,  alle  associazioni  e  ad   altri   organismi,
limitatamente ai dati,  ove  necessario  attinenti  anche  alla  vita
sessuale,  e  alle  operazioni  indispensabili  per  adempiere   agli
obblighi,  anche  precontrattuali,  derivanti  da  un   rapporto   di
fornitura all'interessato di beni, di prestazioni o di servizi. 
  Se il rapporto intercorre con imprese assicurative  o  istituti  di
credito, devono considerarsi indispensabili i soli dati ed operazioni
strettamente necessari  per  fornire  specifici  prodotti  o  servizi
richiesti dall'interessato. Il  rapporto  puo'  riguardare  anche  la
fornitura di strumenti di ausilio per la vista, per l'udito o per  la
deambulazione; 
    f)  alle  persone  fisiche  o   giuridiche,   agli   enti,   alle
associazioni  e  agli  altri  organismi  che  gestiscono  impianti  o
strutture sportive, limitatamente ai dati idonei a rivelare lo  stato
di salute e alle operazioni indispensabili per accertare  l'idoneita'
fisica alla partecipazione ad attivita' sportive o agonistiche; 
    g) alle persone  fisiche  o  giuridiche  e  ad  altri  organismi,
limitatamente  ai  dati  dei  beneficiari  e  dei  donatori  e   alle
operazioni  indispensabili  per  effettuare  trapianti  di  organi  e
tessuti, nonche' donazioni di sangue. 
  1.3. La presente autorizzazione e' rilasciata, altresi', quando  il
trattamento dei dati idonei a rivelare lo stato di salute e  la  vita
sessuale sia necessario per: 
    a) lo svolgimento delle  investigazioni  difensive  di  cui  alla
legge 7 dicembre 2000, n. 397, o comunque per far valere o  difendere
un diritto anche da parte di un terzo in sede giudiziaria, nonche' in
sede amministrativa o nelle procedure di arbitrato e di conciliazione
nei casi previsti  dalle  leggi,  dalla  normativa  comunitaria,  dai
regolamenti o dai contratti collettivi, sempre che il diritto sia  di
rango pari  a  quello  dell'interessato,  ovvero  consistente  in  un
diritto della personalita' o in altro diritto o liberta' fondamentale
e inviolabile, e  i  dati  siano  trattati  esclusivamente  per  tali
finalita' e per  il  periodo  strettamente  necessario  per  il  loro
perseguimento; 
    b) adempiere o esigere l'adempimento di specifici obblighi o  per
eseguire specifici compiti previsti dalla normativa  comunitaria,  da
leggi, da regolamenti o da contratti collettivi per la  gestione  del
rapporto di lavoro, nonche' dalla normativa in materia di  previdenza
e assistenza o in materia di igiene e sicurezza del  lavoro  o  della
popolazione, nei limiti previsti dalla  autorizzazione  generale  del
Garante n. 1/2014 e ferme restando  le  disposizioni  del  codice  di
deontologia e di buona condotta di cui all'art. 111 del Codice. 
  1.4. Il trattamento di dati genetici resta autorizzato nei limiti e
alle condizioni individuati  nell'autorizzazione  adottata  ai  sensi
dell'art. 90 del Codice. 
2) Categorie di dati oggetto di trattamento. 
  Prima di iniziare o proseguire il trattamento i sistemi informativi
e i  programmi  informatici  sono  configurati  riducendo  al  minimo
l'utilizzazione di dati personali e di dati identificativi,  in  modo
da escluderne il  trattamento  quando  le  finalita'  perseguite  nei
singoli casi possono  essere  realizzate  mediante,  rispettivamente,
dati anonimi od opportune modalita' che  permettano  di  identificare
l'interessato solo in caso di necessita', in conformita'  all'art.  3
del Codice. 
  Il  trattamento  puo'  avere  per  oggetto  i   dati   strettamente
pertinenti ai sopra indicati obblighi, compiti o  finalita'  che  non
possano essere adempiuti o realizzati, caso  per  caso,  mediante  il
trattamento di dati anonimi o di dati personali di natura diversa,  e
puo'  comprendere  le  informazioni  relative  a  stati   di   salute
pregressi. 
  Devono essere considerate  sottoposte  all'ambito  di  applicazione
della presente  autorizzazione  anche  le  informazioni  relative  ai
nascituri, che devono essere trattate alla stregua dei dati personali
in conformita' a quanto previsto dalla citata  raccomandazione  N.  R
(97) 5 del Consiglio d'Europa. 
3) Modalita' di trattamento. 
  Fermi restando gli obblighi  previsti  dagli  artt.  11  e  14  del
Codice, nonche' dagli artt. 31 e seguenti del Codice e  dall'Allegato
B) al medesimo Codice, il trattamento dei dati oggetto della presente
autorizzazione deve  essere  effettuato  unicamente  con  operazioni,
nonche' con logiche e  mediante  forme  di  organizzazione  dei  dati
strettamente indispensabili in rapporto ai sopra  indicati  obblighi,
compiti o finalita'. 
  I dati sono raccolti, di regola, presso l'interessato. 
  La comunicazione di dati all'interessato deve  avvenire  di  regola
direttamente a quest'ultimo o  a  un  suo  delegato  (fermo  restando
quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o
con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti
non autorizzati,  anche  attraverso  la  previsione  di  distanze  di
cortesia. 
  Per le informazioni relative ai nascituri, il consenso e'  prestato
dalla  gestante.  Dopo  il   raggiungimento   della   maggiore   eta'
l'informativa  e'  fornita  all'interessato  anche  ai   fini   della
acquisizione di una nuova manifestazione del consenso  quando  questo
e' necessario (art. 82, comma 4, del Codice). 
4) Conservazione dei dati. 
  Nel quadro del rispetto dell'obbligo previsto dall'art.  11,  comma
1, lett. e) del Codice, i  dati  possono  essere  conservati  per  un
periodo non superiore a quello necessario per adempiere agli obblighi
o ai compiti sopra indicati, ovvero per perseguire le  finalita'  ivi
menzionate. A tal fine,  anche  mediante  controlli  periodici,  deve
essere verificata costantemente la stretta pertinenza, non  eccedenza
e indispensabilita' dei dati rispetto al rapporto, alla prestazione o
all'incarico in corso, da instaurare o cessati, anche con riferimento
ai dati che l'interessato fornisce di propria iniziativa. I dati che,
anche a seguito delle verifiche, risultano eccedenti o non pertinenti
o non indispensabili non possono essere  utilizzati,  salvo  che  per
l'eventuale  conservazione,  a  norma  di  legge,  dell'atto  o   del
documento che li contiene. 
  Specifica attenzione e' prestata per l'indispensabilita'  dei  dati
riferiti a soggetti diversi da quelli cui si riferiscono direttamente
le prestazioni e gli adempimenti. 
5) Comunicazione e diffusione dei dati. 
  Salvo quanto  previsto  per  i  dati  genetici  nell'autorizzazione
adottata ai sensi dell'art. 90 del Codice, i dati idonei  a  rivelare
lo stato di salute possono essere comunicati, nei limiti strettamente
pertinenti agli obblighi, ai compiti e alle finalita' di cui al punto
1), a soggetti pubblici e privati, ivi compresi i fondi e le casse di
assistenza sanitaria integrativa, le aziende che  svolgono  attivita'
strettamente correlate all'esercizio di professioni sanitarie o  alla
fornitura all'interessato di beni, di prestazioni o di  servizi,  gli
istituti di credito e le imprese  assicurative,  le  associazioni  od
organizzazioni di volontariato e i familiari dell'interessato. 
  Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati
idonei a rivelare lo stato di salute non possono essere diffusi. 
  I dati idonei a  rivelare  la  vita  sessuale  non  possono  essere
diffusi, salvo il caso  in  cui  la  diffusione  riguardi  dati  resi
manifestamente pubblici dall'interessato e per i quali  l'interessato
stesso non abbia manifestato successivamente la sua  opposizione  per
motivi legittimi. 
6) Richieste di autorizzazione. 
  I  titolari  dei   trattamenti   che   rientrano   nell'ambito   di
applicazione  della  presente  autorizzazione  non  sono   tenuti   a
presentare  una  richiesta  di  autorizzazione  a  questa  Autorita',
qualora il trattamento che si intende effettuare  sia  conforme  alle
prescrizioni suddette. 
  Le richieste di autorizzazione pervenute o  che  perverranno  anche
successivamente alla data di  adozione  del  presente  provvedimento,
devono  intendersi  accolte  nei  termini  di  cui  al  provvedimento
medesimo. 
  Il  Garante  non   prendera'   in   considerazione   richieste   di
autorizzazione per trattamenti da  effettuarsi  in  difformita'  alle
prescrizioni  del  presente  provvedimento,  salvo  che,   ai   sensi
dell'art. 41 del Codice, il loro  accoglimento  sia  giustificato  da
circostanze del tutto particolari o  da  situazioni  eccezionali  non
considerate nella presente autorizzazione, relative, ad  esempio,  al
caso in cui la raccolta del consenso comporti  un  impiego  di  mezzi
manifestamente sproporzionato in ragione, in particolare, del  numero
di persone interessate. 
7) Norme finali. 
  Restano fermi  gli  obblighi  previsti  da  norme  di  legge  o  di
regolamento o dalla normativa comunitaria che stabiliscono divieti  o
limiti piu' restrittivi in materia di trattamento di  dati  personali
e, in particolare: 
    a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135,  come
modificato dall'art. 178  del  Codice,  secondo  cui  la  rilevazione
statistica  della  infezione  da  HIV  deve  essere  effettuata   con
modalita' che non consentano l'identificazione della persona; 
    b) dall'art. 11 della legge 22 maggio  1978,  n.  194,  il  quale
dispone che l'ente ospedaliero, la casa di cura o il  poliambulatorio
nei quali e' effettuato un intervento di interruzione  di  gravidanza
devono inviare all'autorita' sanitaria competente per territorio  una
dichiarazione che non faccia menzione dell'identita' della donna; 
    c) dall'art.  734-bis  del  codice  penale,  il  quale  vieta  la
divulgazione non consensuale delle generalita' o dell'immagine  della
persona offesa da atti di violenza sessuale. 
  Restano altresi'  fermi  gli  obblighi  di  legge  che  vietano  la
rivelazione senza  giusta  causa  e  l'impiego  a  proprio  o  altrui
profitto delle notizie coperte dal segreto professionale, nonche' gli
obblighi  deontologici  previsti,  in  particolare,  dal  codice   di
deontologia medica adottato dalla Federazione nazionale degli  ordini
dei medici chirurghi e degli odontoiatri. 
  Resta ferma, infine, la possibilita'  di  diffondere  dati  anonimi
anche aggregati e di includerli, in particolare, nelle  pubblicazioni
a  contenuto   scientifico   o   finalizzate   all'educazione,   alla
prevenzione o all'informazione di carattere sanitario. 
8) Efficacia temporale. 
  La presente autorizzazione ha efficacia a decorrere dal 1°  gennaio
2015 fino al 31 dicembre  2016,  salve  eventuali  modifiche  che  il
Garante ritenga  di  dover  apportare  in  conseguenza  di  eventuali
novita' normative rilevanti in materia. 
  La  presente  autorizzazione  sara'   pubblicata   nella   Gazzetta
Ufficiale della Repubblica italiana. 
 
    Roma, 11 dicembre 2014 
 
                         Il Presidente: Soro 
 
 
                    Il relatore: Bianchi Clerici 
 
 
                    Il segretario generale: Busia 
 

Nessun commento: