Translate

lunedì 29 luglio 2019

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 5 giugno 2019 Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell'articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101. (Provvedimento n. 146). (19A04879) (GU n.176 del 29-7-2019)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 5 giugno 2019
Prescrizioni relative al  trattamento  di  categorie  particolari  di
dati, ai sensi dell'articolo 21, comma 1 del decreto  legislativo  10
agosto 2018, n. 101. (Provvedimento n. 146). (19A04879)
(GU n.176 del 29-7-2019)

                    IL GARANTE PER LA PROTEZIONE
                         DEI DATI PERSONALI

  In data odierna, con la partecipazione del  dott.  Antonello  Soro,
presidente, della dott.ssa  Augusta  Iannini,  vicepresidente,  della
dott.ssa Giovanna Bianchi Clerici e della  prof.ssa  Licia  Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
  Visto il regolamento (UE) 2016/679 del  Parlamento  europeo  e  del
Consiglio del 27 aprile 2016 relativo alla protezione  delle  persone
fisiche con riguardo al trattamento dei dati personali, nonche'  alla
libera circolazione di tali dati e che abroga la  direttiva  95/46/CE
(di seguito «regolamento»);
  Visto il decreto legislativo 30 giugno  2003,  n.  196  (Codice  in
materia di protezione dei dati personali,  di  seguito  il  «codice»)
come novellato dal  decreto  legislativo  10  agosto  2018,  n.  101,
recante «Disposizioni per  l'adeguamento  della  normativa  nazionale
alle disposizioni del regolamento (UE) 2016/679»;
  Viste le autorizzazioni generali adottate ai sensi  degli  articoli
26 e 40 del codice;
  Considerato che gli articoli 26 e 40 del codice sono stati abrogati
dall'art. 27,  comma  1,  lettera  a),  n.  2),  del  citato  decreto
legislativo n. 101/2018;
  Considerato che l'art. 21 del decreto legislativo n.  101/2018,  in
attuazione  delle  disposizioni  del  regolamento,  ha  demandato  al
Garante il compito  di  individuare,  con  proprio  provvedimento  di
carattere generale, le prescrizioni  contenute  nelle  autorizzazioni
generali gia' adottate, relative alle situazioni  di  trattamento  di
cui agli articoli 6, paragrafo 1, lettere c) ed e), 9,  paragrafo  2,
lettera b) e 4, nonche' al Capo IX, del  regolamento,  che  risultano
compatibili con le disposizioni comunitarie e il decreto medesimo che
ha novellato il codice, provvedendo, altresi', al loro  aggiornamento
ove occorrente;
  Ritenuto  di  dare  attuazione  al  citato  art.  21  del   decreto
legislativo n. 101/2018  a  mezzo  del  presente  provvedimento,  che
produce effetti fino all'adozione, per le parti di pertinenza,  delle
regole deontologiche e delle misure di garanzia di cui agli  articoli
2-quater e 2-septies del codice;
  Rilevato che l'autorizzazione  generale  al  trattamento  dei  dati
giudiziari da parte di privati,  di  enti  pubblici  economici  e  di
soggetti pubblici n. 7/2016, alla luce della  disciplina  applicabile
ai medesimi dati contenuta nel regolamento e nel codice (art. 10  del
regolamento;  art.  2-octies  del  codice  e  art.  21  del   decreto
legislativo n. 101/2018), ha cessato di  produrre  effetti  giuridici
alla data del 19 settembre u.s., ai sensi del comma  3  della  citata
disposizione;
  Considerato che a decorrere dal 25 maggio 2018 l'espressione  «dati
sensibili» si intende riferita alle categorie particolari di dati  di
cui al citato art. 9 del regolamento (art. 22, comma 2,  del  decreto
legislativo n. 101/2018);
  Visto l'art. 9 del regolamento, che individua i presupposti per  il
trattamento dei dati personali  che  rivelano  l'origine  razziale  o
etnica,  le  opinioni   politiche,   le   convinzioni   religiose   o
filosofiche, l'appartenenza sindacale, nonche' dei dati genetici, dei
dati biometrici intesi a identificare in  modo  univoco  una  persona
fisica e dei dati  relativi  alla  salute  o  alla  vita  sessuale  o
all'orientamento sessuale della persona (c.d. «categorie  particolari
di dati personali», paragrafo 1) e che consente agli Stati membri  di
introdurre ulteriori condizioni, comprese limitazioni,  con  riguardo
al trattamento di dati genetici, biometrici o  relativi  alla  salute
(paragrafo 4);
  Rilevato che restano in ogni caso fermi gli  obblighi  previsti  da
norme di legge o di regolamento o dalla  normativa  eurounitaria  che
stabiliscono  divieti  o  limiti  piu'  restrittivi  in  materia   di
trattamento di dati personali;
  Visto l'art. 2-decies, del codice, secondo cui i dati  trattati  in
violazione della disciplina rilevante in materia  di  trattamento  di
dati personali non possono essere utilizzati, salvo  quanto  previsto
dall'art. 160-bis dello stesso codice;
  Considerato  che,  in  base  all'art.  21,  comma  5,  del  decreto
legislativo n. 101/2018, la violazione delle  prescrizioni  contenute
nel presente  provvedimento  generale  sono  soggette  alla  sanzione
amministrativa di cui all'art. 83, paragrafo 5, del regolamento;
  Visto il provvedimento generale del 13 dicembre 2018, n.  497,  con
il quale il Garante ha individuato le  prescrizioni  contenute  nelle
autorizzazioni generali  numeri  1/2016,  3/2016,  6/2016,  8/2016  e
9/2016 che risultano compatibili con il regolamento e con il  decreto
legislativo n. 101/2018 di adeguamento del codice;
  Visto che con il medesimo provvedimento il Garante  ha  deliberato,
come richiesto dall'art. 21, comma  1,  del  decreto  legislativo  n.
101/2018, di avviare una consultazione pubblica  volta  ad  acquisire
osservazioni e proposte riguardo alle predette prescrizioni che si e'
conclusa decorsi sessanta giorni  dalla  data  di  pubblicazione  del
relativo avviso (Gazzetta ufficiale n. 9 dell'11 gennaio 2019);
  Viste le osservazioni e le proposte pervenute al  Garante  inerenti
ai risvolti applicativi del richiamato provvedimento prescrittivo  da
parte  di  soggetti  interessati,   associazioni   di   categoria   e
organizzazioni rappresentative dei settori di riferimento;
  Ritenuto di apportare specifiche  modifiche  e  integrazioni,  alla
luce dei contributi maggiormente significativi e  pertinenti  inviati
dai  partecipanti  alla  consultazione,  anche  al  fine  di  rendere
maggiormente chiare e precise le  prescrizioni  indicate  nonche'  di
armonizzarle nel contesto normativo vigente;
  Visto l'art. 170 del codice come sostituito dall'art. 15, comma  1,
lettera e), del decreto legislativo n. 101/2018;
  Visti gli articoli 21, comma 5, del decreto legislativo n. 101/2018
e 83, paragrafo 5, del regolamento;
  Visti gli atti d´ufficio;
  Viste le osservazioni formulate dal segretario  generale  ai  sensi
dell´art. 15 del regolamento del Garante n. 1/2000;
  Relatore la dott.ssa Augusta Iannini;

                         Tutto cio' premesso
                             il Garante:

  Ai sensi dell'art. 21, comma 1, del decreto legislativo  10  agosto
2018,  n.  101,  adotta  il   presente   provvedimento   recante   le
prescrizioni relative alle situazioni  di  trattamento  di  cui  agli
articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b)
e 4, nonche' al Capo IX del  regolamento  riportate  nell'allegato  1
facente parte integrante del provvedimento medesimo, e ne dispone  la
pubblicazione nella Gazzetta Ufficiale della Repubblica  italiana  ai
sensi dell'art. 21, comma 2, del decreto legislativo n. 101/2018.
    Roma, 5 giugno 2019

                            Il presidente
                                Soro

                             Il relatore
                               Iannini

                       Il segretario generale
                                Busia

                                                           Allegato 1

1. Prescrizioni relative al trattamento di categorie  particolari  di
  dati nei rapporti di lavoro (aut. gen. n. 1/2016).

    I trattamenti dei dati personali nel  contesto  lavorativo,  alla
luce del quadro normativo delineato dal  regolamento  (UE)  2016/679,
sono considerati se effettuati da datori di lavoro sia  pubblici  che
privati  (cfr.  articoli  88  e  9,  paragrafo  2,  lettera  b),  del
regolamento UE 2016/679); cio', diversamente dall'impianto del codice
anteriore alle modifiche del decreto legislativo n. 101/2018.
1.1 Ambito di applicazione.
    Il presente provvedimento  si  applica  nei  confronti  di  tutti
coloro che, a vario titolo (titolare/responsabile  del  trattamento),
effettuano trattamenti per  finalita'  d'instaurazione,  gestione  ed
estinzione del rapporto di lavoro, in particolare:
      a) agenzie per il lavoro e altri soggetti che,  in  conformita'
alla  legge,  svolgono,  nell'interesse  di   terzi,   attivita'   di
intermediazione, ricerca e selezione del personale  o  supporto  alla
ricollocazione professionale ivi  compresi  gli  enti  di  formazione
accreditati;
      b) persone fisiche e giuridiche, imprese, anche sociali,  enti,
associazioni e organismi che sono parte di un rapporto  di  lavoro  o
che utilizzano prestazioni  lavorative  anche  atipiche,  parziali  o
temporanee, o che comunque  conferiscono  un  incarico  professionale
alle figure indicate al successivo punto 1.2, lettere c) e d);
      c) organismi paritetici o che gestiscono osservatori in materia
di lavoro, previsti dalla normativa dell'Unione europea, dalle leggi,
dai regolamenti o dai contratti collettivi anche aziendali;
      d)  rappresentante  dei  lavoratori  per  la  sicurezza,  anche
territoriale e di sito;
      e) soggetti che curano gli adempimenti in materia di lavoro, di
previdenza ed assistenza sociale e fiscale  nell'interesse  di  altri
soggetti che sono  parte  di  un  rapporto  di  lavoro  dipendente  o
autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina
la professione di consulente del lavoro;
      f) associazioni, organizzazioni, federazioni  o  confederazioni
rappresentative di categorie di datori di lavoro,  al  solo  fine  di
perseguire scopi determinati e legittimi individuati dagli statuti di
associazioni,   organizzazioni,    federazioni    o    confederazioni
rappresentative di categorie di datori  di  lavoro  o  dai  contratti
collettivi in materia di assistenza sindacale ai datori di lavoro;
      g) medico competente in  materia  di  salute  e  sicurezza  sul
lavoro,  che  opera  in  qualita'  di  libero  professionista  o   di
dipendente del datore di lavoro o di strutture convenzionate.
1.2 Interessati ai quali i dati si riferiscono.
    Il presente provvedimento si applica ai trattamenti di  categorie
particolari di  dati  personali,  acquisiti  di  regola  direttamente
presso l'interessato, riferiti a:
      a) candidati all'instaurazione dei rapporti di lavoro, anche in
caso di curricula spontaneamente trasmessi dagli interessati ai  fini
dell'instaurazione  di  un  rapporto  di  lavoro  (art.  111-bis  del
codice);
      b) lavoratori subordinati, anche se parti di  un  contratto  di
apprendistato, di formazione, a termine, di lavoro intermittente,  di
lavoro   occasionale    ovvero    praticanti    per    l'abilitazione
professionale,  ovvero  prestatori  di  lavoro  nell'ambito   di   un
contratto di somministrazione di lavoro, o in rapporto di  tirocinio,
ovvero ad associati anche in compartecipazione;
      c) consulenti e liberi professionisti, agenti, rappresentanti e
mandatari;
      d)  soggetti  che  svolgono  collaborazioni   organizzate   dal
committente,   o   altri   lavoratori   autonomi   in   rapporto   di
collaborazione,  anche  sotto  forma   di   prestazioni   di   lavoro
accessorio, con i soggetti indicati nel precedente punto 1.1;
      e) persone  fisiche  che  ricoprono  cariche  sociali  o  altri
incarichi nelle persone giuridiche, negli enti, nelle associazioni  e
negli organismi indicati nel precedente punto 1.1;
      f) terzi danneggiati nell'esercizio dell'attivita' lavorativa o
professionale;
      g) terzi (familiari o  conviventi  dei  soggetti  di  cui  alle
precedenti lettere  b)  e  d)  per  il  rilascio  di  agevolazioni  e
permessi.
1.3 Finalita' del trattamento.
    Il trattamento delle categorie particolari di dati  personali  e'
effettuato solo se necessario (art. 9, paragrafo 2,  del  regolamento
UE 2016/679):
      a) per adempiere  o  per  esigere  l'adempimento  di  specifici
obblighi o per eseguire specifici compiti  previsti  dalla  normativa
dell'Unione  europea,  da  leggi,  da  regolamenti  o  da   contratti
collettivi  anche  aziendali,  ai  sensi  del  diritto  interno,   in
particolare ai fini dell'instaurazione, gestione  ed  estinzione  del
rapporto di lavoro (art. 88 del regolamento UE 2016/679), nonche' del
riconoscimento di agevolazioni ovvero dell'erogazione di  contributi,
dell'applicazione  della  normativa  in  materia  di  previdenza   ed
assistenza anche integrativa, o in materia di igiene e sicurezza  del
lavoro, nonche' in materia fiscale e sindacale;
      b) anche fuori dei casi di cui alla lettera a), in  conformita'
alla legge e per scopi determinati e legittimi, ai fini della  tenuta
della contabilita'  o  della  corresponsione  di  stipendi,  assegni,
premi, altri emolumenti, liberalita' o benefici accessori;
      c) per  perseguire  finalita'  di  salvaguardia  della  vita  o
dell'incolumita' fisica del lavoratore o di un terzo;
      d) per far valere o difendere un diritto, anche da parte di  un
terzo, in sede giudiziaria, nonche' in sede  amministrativa  o  nelle
procedure di arbitrato e di conciliazione, nei  casi  previsti  dalle
leggi, dalla normativa dell'Unione europea,  dai  regolamenti  o  dai
contratti collettivi, sempre che i dati siano trattati esclusivamente
per tali finalita' e per il periodo strettamente necessario  al  loro
perseguimento;  il  trattamento  di  dati  personali  effettuato  per
finalita' di tutela dei propri diritti in giudizio deve  riferirsi  a
contenziosi in atto o a situazioni precontenziose; resta salvo quanto
stabilito dall'art. 60 del codice;
      e)  per  adempiere  ad  obblighi  derivanti  da  contratti   di
assicurazione finalizzati alla copertura  dei  rischi  connessi  alla
responsabilita' del datore di lavoro in materia di salute e sicurezza
del lavoro e di malattie professionali o  per  i  danni  cagionati  a
terzi nell'esercizio dell'attivita' lavorativa o professionale;
      f) per garantire le pari opportunita' nel lavoro;
      g) per perseguire scopi  determinati  e  legittimi  individuati
dagli  statuti  di  associazioni,   organizzazioni,   federazioni   o
confederazioni rappresentative di categorie di datori di lavoro o dai
contratti collettivi, in materia di assistenza sindacale ai datori di
lavoro.
1.4 Prescrizioni specifiche relative alle diverse categorie di dati.
1.4.1 Trattamenti effettuati nella fase preliminare alle assunzioni.
      a) le agenzie per il lavoro  e  agli  altri  soggetti  che,  in
conformita' alla legge, svolgono, nell'interesse proprio o di  terzi,
attivita' di intermediazione, ricerca e  selezione  del  personale  o
supporto alla ricollocazione professionale possono  trattare  i  dati
idonei a rivelare lo stato di salute e l'origine razziale  ed  etnica
dei candidati  all'instaurazione  di  un  rapporto  di  lavoro  o  di
collaborazione, solo se la loro raccolta sia  giustificata  da  scopi
determinati  e  legittimi  e  sia  necessaria  per  instaurare   tale
rapporto;
      b) il trattamento effettuato  ai  fini  dell'instaurazione  del
rapporto di lavoro, sia attraverso questionari inviati anche per  via
telematica sulla base di modelli predefiniti, sia nel caso in  cui  i
candidati forniscano  dati  di  propria  iniziativa,  in  particolare
attraverso  l'invio  di  curricula,  deve  riguardare,   nei   limiti
stabiliti dalle disposizioni richiamate dall'art. 113 del codice,  le
sole  informazioni  strettamente  pertinenti  e  limitate  a   quanto
necessario a tali finalita', anche  tenuto  conto  delle  particolari
mansioni e/o delle specificita' dei profili professionali richiesti;
      c) qualora nei curricula inviati dai candidati  siano  presenti
dati non pertinenti rispetto alla finalita' perseguita i soggetti  di
cui alla lettera a) o i datori di lavoro che effettuano la  selezione
devono astenersi dall'utilizzare tali informazioni;
      d) i dati genetici non  possono  essere  trattati  al  fine  di
stabilire l'idoneita'  professionale  di  un  candidato  all'impiego,
neppure con il consenso dell'interessato.
1.4.2 Trattamenti effettuati nel corso del rapporto di lavoro.
      a) il datore di lavoro tratta dati che rivelano le  convinzioni
religiose  o  filosofiche  ovvero  l'adesione  ad   associazioni   od
organizzazioni a carattere religioso o filosofico  esclusivamente  in
caso di fruizione di permessi in occasione di festivita' religiose  o
per le modalita' di erogazione dei  servizi  di  mensa  o,  nei  casi
previsti dalla legge, per l'esercizio dell'obiezione di coscienza;
      b) il datore di lavoro tratta dati  che  rivelano  le  opinioni
politiche o  l'appartenenza  sindacale,  o  l'esercizio  di  funzioni
pubbliche e incarichi politici, di attivita' o di incarichi sindacali
esclusivamente ai fini della fruizione di permessi o  di  periodi  di
aspettativa riconosciuti dalla legge o, eventualmente, dai  contratti
collettivi anche aziendali nonche'  per  consentire  l'esercizio  dei
diritti sindacali compreso il  trattamento  dei  dati  inerenti  alle
trattenute  per  il  versamento  delle   quote   di   iscrizione   ad
associazioni od organizzazioni sindacali;
      c) il datore di lavoro in caso di partecipazione di  dipendenti
ad operazioni elettorali in qualita' di rappresentanti di  lista,  in
applicazione  del  principio  di  necessita',   non   deve   trattare
nell'ambito  della  documentazione  da   presentare   al   fine   del
riconoscimento di benefici di legge, dati che  rivelino  le  opinioni
politiche (ad esempio, non deve essere  richiesto  il  documento  che
designa il rappresentate di lista essendo allo scopo  sufficiente  la
certificazione del presidente di seggio);
      d) il datore di lavoro non puo' trattare dati genetici al  fine
di stabilire l'idoneita' professionale di un dipendente, neppure  con
il consenso dell'interessato.
1.5 Prescrizioni specifiche relative alle modalita' di trattamento.
    Con riferimento alle modalita'  di  trattamento,  si  rappresenta
quanto segue:
      a)  i  dati  devono  essere   raccolti,   di   regola,   presso
l'interessato;
      b) in tutte le  comunicazioni  all'interessato  che  contengono
categorie particolari di  dati  devono  essere  utilizzate  forme  di
comunicazione anche elettroniche individualizzate  nei  confronti  di
quest'ultimo o di un suo delegato, anche per il tramite di  personale
autorizzato. Nel  caso  in  cui  si  proceda  alla  trasmissione  del
documento cartaceo, questo dovra' essere  trasmesso,  di  regola,  in
plico chiuso, salva la necessita' di  acquisire,  anche  mediante  la
sottoscrizione per ricevuta, la prova della ricezione dell'atto;
      c) i documenti che contengono categorie  particolari  di  dati,
ove debbano  essere  trasmessi  ad  altri  uffici  o  funzioni  della
medesima  struttura  organizzativa  in   ragione   delle   rispettive
competenze,   devono   contenere   esclusivamente   le   informazioni
necessarie allo svolgimento della funzione senza  allegare,  ove  non
strettamente indispensabile,  documentazione  integrale  o  riportare
stralci all'interno del testo. A tal fine dovranno essere selezionate
e impiegate modalita' di trasmissione  della  documentazione  che  ne
garantiscano la ricezione e il relativo trattamento da parte dei soli
uffici o strutture organizzative  competenti  e  del  solo  personale
autorizzato;
      d)  quando  per  ragioni  di  organizzazione  del   lavoro,   e
nell'ambito della predisposizione di turni di servizio, si proceda  a
mettere  a  disposizione  a  soggetti  diversi  dall'interessato  (ad
esempio, altri colleghi) dati relativi  a  presenze  ed  assenze  dal
servizio,  il  datore  di  lavoro  non  deve   esplicitare,   nemmeno
attraverso acronimi o sigle, le causali dell'assenza dalle quali  sia
possibile evincere la conoscibilita' di particolari categorie di dati
personali (es. permessi sindacali o dati sanitari).
2. Prescrizioni relative al trattamento di categorie  particolari  di
  dati  da  parte  degli  organismi  di   tipo   associativo,   delle
  fondazioni, delle chiese e associazioni o comunita' religiose (aut.
  gen. n. 3/2016).
2.1 Ambito di applicazione.
    Le prescrizioni di seguito indicate si applicano:
      a) alle associazioni anche non riconosciute, ai  partiti  e  ai
movimenti  politici,  alle   associazioni   e   alle   organizzazioni
sindacali, ai patronati e alle associazioni di categoria, alle  casse
di previdenza, alle organizzazioni assistenziali o di volontariato e,
piu' in generale, del  terzo  settore,  nonche'  alle  federazioni  e
confederazioni nelle quali tali soggetti sono riuniti in conformita',
ove esistenti, allo statuto, all'atto costitutivo o ad  un  contratto
collettivo;
      b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio
od organismo senza scopo di lucro,  dotati  o  meno  di  personalita'
giuridica, ivi comprese le organizzazioni non lucrative  di  utilita'
sociale (Onlus);
      c) alle cooperative sociali e alle societa' di  mutuo  soccorso
di cui, rispettivamente, alle leggi 8 novembre  1991,  n.  381  e  15
aprile 1886, n. 3818;
      d) agli istituti scolastici, limitatamente al  trattamento  dei
dati che rivelino  le  convinzioni  religiose  e  per  le  operazioni
strettamente necessarie per l'applicazione degli articoli 310  e  311
del decreto legislativo 16 aprile 1994, n. 297, e degli articoli 3  e
10 del decreto legislativo 19 febbraio 2004, n. 59;
      e) alle chiese, associazioni o comunita' religiose.
2.2 Interessati ai quali i dati si riferiscono.
    Il trattamento puo' riguardare i dati particolari attinenti:
      a) agli associati, ai soci e,  se  strettamente  indispensabile
per  il  perseguimento  delle  finalita'  perseguite,   ai   relativi
familiari e conviventi;
      b) agli aderenti, ai sostenitori o sottoscrittori,  nonche'  ai
soggetti che presentano richiesta di ammissione o di adesione  o  che
hanno  contatti  regolari  con  enti   e   organizzazioni   di   tipo
associativo, fondazioni, chiese e associazioni o comunita' religiose;
      c) ai soggetti che ricoprono cariche sociali o onorifiche;
      d) ai beneficiari, agli assistiti e ai fruitori delle attivita'
o dei servizi prestati dall'associazione o da enti  e  organizzazioni
di tipo associativo, fondazioni, chiese e  associazioni  o  comunita'
religiose, limitatamente  ai  soggetti  individuabili  in  base  allo
statuto o all'atto costitutivo, ove esistenti, o  comunque  a  coloro
nell'interesse dei quali i soggetti menzionati al punto  2.1  possono
operare in base ad una previsione normativa;
      e) agli studenti iscritti o che  hanno  presentato  domanda  di
iscrizione agli istituti di cui al punto 2.1, lettera d)  e,  qualora
si tratti di minori,  ai  loro  genitori  o  a  chi  ne  esercita  la
potesta';
      f)  ai  lavoratori  dipendenti  degli  associati  e  dei  soci,
limitatamente ai dati  idonei  a  rivelare  l'adesione  a  sindacati,
associazioni  od  organizzazioni  a  carattere   sindacale   e   alle
operazioni necessarie per adempiere a specifici obblighi derivanti da
contratti collettivi anche aziendali.
2.3 Finalita' del trattamento.
    Il trattamento dei dati particolari puo' essere effettuato per il
perseguimento di scopi  determinati  e  legittimi  individuati  dalla
legge,  dall'atto  costitutivo,  dallo  statuto   o   dal   contratto
collettivo, ove esistenti, e in particolare per il  perseguimento  di
finalita' culturali,  religiose,  politiche,  sindacali,  sportive  o
agonistiche di tipo non professionistico,  di  istruzione  anche  con
riguardo alla liberta'  di  scelta  dell'insegnamento  religioso,  di
formazione, di patrocinio, di  tutela  dell'ambiente  e  delle  opere
d'interesse artistico e storico, di salvaguardia dei diritti  civili,
di beneficenza, assistenza sociale o socio-sanitaria.
    Il trattamento dei predetti dati puo' avere luogo, altresi',  per
far valere o difendere un diritto anche da parte di un terzo in  sede
giudiziaria, nonche' in sede  amministrativa  o  nelle  procedure  di
arbitrato e  di  conciliazione  nei  casi  previsti  dalla  normativa
eurounitaria,  dalle  leggi,  dai   regolamenti   o   dai   contratti
collettivi.
    Il  medesimo  trattamento  puo'  inoltre  essere  effettuato  per
l'esercizio  del  diritto  di  accesso  ai  dati   e   ai   documenti
amministrativi, nei limiti di quanto  stabilito  dalle  leggi  e  dai
regolamenti in  materia,  salvo  quanto  previsto  dall'art.  60  del
codice, come novellato dal decreto legislativo n. 101/2018.
    Per i fini predetti, il trattamento dei dati di  cui  sopra  puo'
riguardare anche la tenuta di  registri  e  scritture  contabili,  di
elenchi, di  indirizzari  e  di  altri  documenti  necessari  per  la
gestione amministrativa di enti e organizzazioni di tipo associativo,
fondazioni, chiese e associazioni o comunita' religiose  nonche'  per
l'adempimento  di  obblighi  fiscali  ovvero  per  la  diffusione  di
riviste, bollettini e simili.
    Qualora i soggetti indicati al punto 2.1 si avvalgano di  persone
giuridiche o di altri organismi  con  scopo  di  lucro  o  di  liberi
professionisti  per  perseguire   le   predette   finalita',   ovvero
richiedano ad essi la fornitura di beni, prestazioni o  servizi,  gli
stessi possono effettuare il trattamento dei dati in questione.
    I soggetti di cui al predetto punto 2.1 possono  comunicare  alle
persone giuridiche e agli organismi con scopo di lucro sopra indicati
(qualora questi ultimi si configurino quali titolari di  un  autonomo
trattamento) i soli dati particolari strettamente indispensabili  per
le attivita'  di  effettivo  ausilio  alle  predette  finalita',  con
particolare  riferimento  alle  generalita'  degli  interessati  e  a
indirizzari,  sulla  base  di  un  atto  scritto  che  individui  con
precisione le informazioni comunicate, le  modalita'  del  successivo
utilizzo e le particolari misure di sicurezza adottate. L'informativa
da  rendere  agli  interessati  deve  porre   tale   circostanza   in
particolare evidenza e deve recare la precisa menzione  dei  titolari
del trattamento e delle finalita'  da  essi  perseguite.  Le  persone
giuridiche e gli organismi con scopo di lucro possono trattare i dati
cosi' acquisiti solo per scopi di ausilio  alle  finalita'  predette,
ovvero per scopi amministrativi e contabili.
2.4 Prescrizioni specifiche.
    I dati personali riferiti agli associati/aderenti possono  essere
comunicati  agli  altri  associati/aderenti  anche  in  assenza   del
consenso  degli   interessati,   a   condizione   che   la   predetta
comunicazione  sia  prevista  -  nell'ambito  dell'autonomia  privata
rimessa a ciascun ente - dall'atto costitutivo o dallo statuto per il
perseguimento di scopi determinati e legittimi e che le modalita'  di
utilizzo dei dati  siano  rese  note  agli  interessati  in  sede  di
rilascio dell'informativa ai sensi dell'art. 13 del regolamento  (UE)
2016/679.
    In  ogni  caso,  tenendo  conto  del  rispetto  dei  principi  di
necessita',   finalita'    e    minimizzazione    e    dell'eventuale
regolamentazione interna all'ente, laddove vengano in  considerazione
profili esclusivamente personali  riferiti  agli  associati/aderenti,
devono essere utilizzate forme di consultazione individualizzata  con
gli  stessi,  adottando  ogni  misura  opportuna  volta  a  prevenire
un'indebita comunicazione di dati personali a  soggetti  diversi  dal
destinatario.
    La   comunicazione   dei    dati    personali    relativi    agli
associati/aderenti all'esterno dell'ente e la loro diffusione possono
essere  effettuate  con  il  consenso   degli   interessati,   previa
informativa agli stessi in ordine alla  tipologia  di  destinatari  e
alle finalita' della trasmissione e purche' i dati siano strettamente
pertinenti alle finalita' ed agli scopi perseguiti.
    I dati  particolari  possono  essere  comunicati  alle  autorita'
competenti per finalita' di prevenzione, accertamento  o  repressione
dei reati, con l'osservanza delle norme che regolano la materia.
3. Prescrizioni relative al trattamento di categorie  particolari  di
  dati da parte degli investigatori privati (aut. gen. n. 6/2016).
3.1 Ambito di applicazione.
    Le presenti prescrizioni sono  dirette  alle  persone  fisiche  e
giuridiche, agli  istituti,  agli  enti,  alle  associazioni  e  agli
organismi  che  esercitano  un'attivita'  di  investigazione  privata
autorizzata con licenza prefettizia (art. 134 del  regio  decreto  18
giugno 1931, n. 773, e successive modificazioni e integrazioni).
3.2 Finalita' del trattamento.
    Il trattamento delle categorie particolari di dati  personali  di
cui all'art. 9, paragrafo  1,  del  regolamento  (UE)  2016/679  puo'
essere  effettuato  unicamente   per   l'espletamento   dell'incarico
ricevuto dai soggetti di cui al punto 3.1 e in particolare:
      a) per permettere a chi conferisce uno specifico  incarico,  di
fare accertare, esercitare o difendere un  proprio  diritto  in  sede
giudiziaria che, quando concerne dati genetici, relativi alla salute,
alla vita sessuale o all'orientamento sessuale  della  persona,  deve
essere di rango pari a quello del soggetto al quale si riferiscono  i
dati, ovvero consistere in un diritto  della  personalita'  o  in  un
altro diritto o liberta' fondamentale;
      b)  su  incarico  di  un  difensore  in   riferimento   ad   un
procedimento penale, per ricercare e individuare  elementi  a  favore
del relativo assistito da utilizzare ai soli fini dell'esercizio  del
diritto alla prova (art. 190 del codice di procedura penale e legge 7
dicembre 2000, n. 397).
3.3 Prescrizioni specifiche.
    Gli investigatori privati non possono  intraprendere  di  propria
iniziativa investigazioni, ricerche o  altre  forme  di  raccolta  di
dati. Tali attivita' possono  essere  eseguite  esclusivamente  sulla
base di un apposito incarico conferito  per  iscritto,  anche  da  un
difensore, per le esclusive finalita' di cui al punto 3.2.
    L'atto di  incarico  deve  menzionare  in  maniera  specifica  il
diritto che si intende esercitare  in  sede  giudiziaria,  ovvero  il
procedimento penale al quale l'investigazione e' collegata, nonche' i
principali elementi di fatto che giustificano l'investigazione  e  il
termine ragionevole entro cui questa deve essere conclusa.
    Deve essere fornita all'interessato  l'informativa  di  cui  agli
articoli 13 e 14 del regolamento (UE) 2016/679, salvo,  nel  caso  in
cui i dati personali non siano stati ottenuti  presso  l'interessato,
che questa rischi di rendere impossibile o di pregiudicare gravemente
il conseguimento delle finalita' di tale trattamento.
    Il difensore o il soggetto che  ha  conferito  l'incarico  devono
essere informati periodicamente dell'andamento dell'investigazione.
    L'investigatore privato deve  eseguire  personalmente  l'incarico
ricevuto e non puo' avvalersi di  altri  investigatori  non  indicati
nominativamente  all'atto  del  conferimento  dell'incarico,   oppure
successivamente in calce a esso qualora tale possibilita'  sia  stata
prevista nell'atto di incarico.
    Una volta  conclusa  la  specifica  attivita'  investigativa,  il
trattamento deve cessare in  ogni  sua  forma,  fatta  eccezione  per
l'immediata comunicazione al difensore o al soggetto che ha conferito
l'incarico i quali possono consentire,  anche  in  sede  di  mandato,
l'eventuale  conservazione  temporanea  di   materiale   strettamente
personale dei soggetti che hanno curato l'attivita' svolta,  ai  soli
fini dell'eventuale dimostrazione della liceita'  e  correttezza  del
proprio operato. Se e' stato contestato il trattamento il difensore o
il  soggetto  che  ha  conferito  l'incarico  possono  anche  fornire
all'investigatore il materiale necessario per dimostrare la  liceita'
e correttezza del proprio operato, per il tempo a  cio'  strettamente
necessario.
    La sola pendenza del procedimento al  quale  l'investigazione  e'
collegata, ovvero il passaggio ad altre fasi di  giudizio  in  attesa
della formazione del giudicato, non costituiscono, di per se' stessi,
una giustificazione valida per la conservazione  dei  dati  da  parte
dell'investigatore privato.
    I dati possono essere comunicati unicamente al  soggetto  che  ha
conferito l'incarico.
    I dati  possono  essere  comunicati  ad  un  altro  investigatore
privato solo se questi sia stato indicato  nominativamente  nell'atto
del conferimento dell'incarico, oppure  successivamente  in  calce  a
esso qualora  tale  possibilita'  sia  stata  prevista  nell'atto  di
incarico, e la comunicazione sia necessaria per  lo  svolgimento  dei
compiti affidati.
    I dati genetici, biometrici e relativi alla salute possono essere
comunicati  alle  autorita'  competenti   solo   per   finalita'   di
prevenzione, accertamento o repressione dei reati,  con  l'osservanza
delle norme che regolano la materia.
    Fermo restando quanto previsto dall'art. 2-septies, comma 8,  del
codice,  i  dati  relativi  alla  vita  sessuale  o  all'orientamento
sessuale non possono essere diffusi.
    Resta  fermo,  per  quanto  riguarda  il  trattamento  dei   dati
genetici, quanto previsto dalle relative prescrizioni.
4. Prescrizioni relative al trattamento dei dati genetici (aut.  gen.
n. 8/2016).
4.1 Definizioni.
    Ai fini del presente provvedimento si intende per:
      a)   dati   genetici,   i   dati   personali   relativi    alle
caratteristiche genetiche  ereditarie  o  acquisite  di  una  persona
fisica che forniscono informazioni univoche sulla fisiologia o  sulla
salute di detta  persona  fisica,  e  che  risultano  in  particolare
dall'analisi  di  un  campione  biologico  della  persona  fisica  in
questione;
      b) campione biologico, ogni campione di materiale biologico  da
cui possono  essere  estratti  dati  genetici  caratteristici  di  un
individuo;
      c) test genetico, l'analisi a scopo clinico  di  uno  specifico
gene o del suo prodotto o funzione o di altre parti del DNA o  di  un
cromosoma, volta a effettuare una diagnosi o a confermare un sospetto
clinico  in  un  individuo  affetto  (test  diagnostico),  oppure   a
individuare o escludere la presenza di una mutazione associata ad una
malattia genetica che possa svilupparsi in un individuo  non  affetto
(test presintomatico) o, ancora, a  valutare  la  maggiore  o  minore
suscettibilita' di un individuo a sviluppare malattie multifattoriali
(test predittivo o di suscettibilita');
      d)  test  farmacogenetico,   il   test   genetico   finalizzato
all'identificazione di specifiche variazioni nella sequenza  del  DNA
in grado di predire la risposta «individuale» a farmaci in termini di
efficacia e di rischio relativo di eventi avversi;
      e) test farmacogenomico,  il  test  genetico  finalizzato  allo
studio globale delle  variazioni  del  genoma  o  dei  suoi  prodotti
correlate  alla   scoperta   di   nuovi   farmaci   e   all'ulteriore
caratterizzazione dei farmaci autorizzati al commercio;
      f) test sulla variabilita' individuale,  i  test  genetici  che
comprendono: il test di parentela volto alla definizione dei rapporti
di parentela; il test ancestrale volto a stabilire i rapporti di  una
persona nei confronti di un antenato o di una determinata popolazione
o  quanto  del  suo  genoma  sia  stato  ereditato   dagli   antenati
appartenenti a una particolare area geografica o  gruppo  etnico;  il
test di identificazione genetica volto a determinare la  probabilita'
con la quale un campione o  una  traccia  di  DNA  recuperato  da  un
oggetto o altro materiale appartenga a una determinata persona;
      g)  screening  genetico,  il  test   genetico   effettuato   su
popolazioni o su  gruppi  definiti,  comprese  le  analisi  familiari
finalizzate a identificare - mediante  «screening  a  cascata»  -  le
persone potenzialmente a rischio di sviluppare la malattia  genetica,
al fine di  delinearne  le  caratteristiche  genetiche  comuni  o  di
identificare precocemente soggetti affetti o portatori  di  patologie
genetiche o di altre caratteristiche ereditarie;
      h) consulenza genetica, le attivita' di comunicazione volte  ad
aiutare l'individuo o la famiglia colpita  da  patologia  genetica  a
comprendere le informazioni mediche che includono la  diagnosi  e  il
probabile decorso della malattia, le forme di assistenza disponibili,
il contributo dell'ereditarieta' al verificarsi  della  malattia,  il
rischio di ricorrenza esistente per  se'  e  per  altri  familiari  e
l'opportunita' di portarne a conoscenza questi ultimi, nonche'  tutte
le  opzioni  esistenti  nell'affrontare  il  rischio  di  malattia  e
l'impatto  che  tale  rischio  puo'  avere  su  scelte   procreative;
nell'esecuzione di test genetici tale  consulenza  comprende  inoltre
informazioni  sul  significato,  i  limiti,  l'attendibilita'  e   la
specificita' del test nonche' le implicazioni dei risultati;  a  tale
processo partecipano, oltre al medico e/o al biologo  specialisti  in
genetica medica, altre figure professionali competenti nella gestione
delle problematiche psicologiche e sociali connesse alla genetica;
      i)  informazione  genetica,  le  attivita'  volte   a   fornire
informazioni  riguardanti   le   specifiche   caratteristiche   degli
screening genetici.
4.2 Prescrizioni specifiche.
    Per la custodia e la sicurezza dei dati genetici e  dei  campioni
biologici sono adottate, in ogni caso, le seguenti cautele:
      a) l'accesso ai locali deve avvenire  secondo  una  documentata
procedura prestabilita dal  titolare  del  trattamento,  che  preveda
l'identificazione delle  persone,  preventivamente  autorizzate,  che
accedono a qualunque titolo dopo l'orario di chiusura. Tali controlli
possono essere effettuati anche con strumenti elettronici. E' ammesso
l'utilizzo dei dati biometrici con riguardo alle richiamate procedure
di accesso fisico, nel rispetto dei principi in materia di protezione
dei dati personali e dei requisiti specifici del trattamento  di  cui
all'art. 9 del regolamento;
      b) la conservazione, l'utilizzo e  il  trasporto  dei  campioni
biologici sono posti in essere con modalita' volte anche a garantirne
la qualita', l'integrita', la disponibilita' e la tracciabilita';
      c)  il  trasferimento  dei  dati  genetici,  con   sistemi   di
messaggistica elettronica ivi compresa la posta, e' effettuato con le
seguenti cautele: trasmissione dei dati in forma di  allegato  e  non
come testo compreso nel  corpo  del  messaggio;  cifratura  dei  dati
avendo cura di rendere nota al destinatario la  chiave  crittografica
tramite canali di comunicazione differenti da quelli  utilizzati  per
la trasmissione dei dati; ricorso a canali di comunicazione protetti,
tenendo conto dello  stato  dell'arte  della  tecnologia  utilizzata;
protezione dell'allegato con modalita' idonee a impedire l'illecita o
fortuita acquisizione dei  dati  trasmessi,  come  una  password  per
l´apertura del file resa  nota  al  destinatario  tramite  canali  di
comunicazione differenti da quelli utilizzati per la trasmissione dei
dati. E' ammesso il ricorso a canali di comunicazione  di  tipo  «web
application» che  prevedano  l'utilizzo  di  canali  di  trasmissione
protetti, tenendo conto dello stato  dell'arte  della  tecnologia,  e
garantiscano, previa verifica, l'identita' digitale  del  server  che
eroga il servizio e  della  postazione  client  da  cui  si  effettua
l'accesso ai  dati,  ricorrendo  a  certificati  digitali  emessi  in
conformita' alla legge da un'autorita' di certificazione;
      d) la consultazione dei dati genetici  trattati  con  strumenti
elettronici   e'   consentita   previa   adozione   di   sistemi   di
autenticazione basati sull'uso  combinato  di  informazioni  note  ai
soggetti all'uopo designati e di dispositivi,  anche  biometrici,  in
loro possesso;
      e) i dati genetici e i campioni biologici contenuti in elenchi,
registri o banche di dati, sono trattati con tecniche di cifratura  o
di pseudonimizzazione o di altre soluzioni che, considerato il volume
dei  dati  e  dei  campioni  trattati,  li  rendano   temporaneamente
inintelligibili anche a chi e' autorizzato ad accedervi e  permettano
di identificare gli interessati solo in caso di necessita',  in  modo
da ridurre al minimo i rischi di conoscenza accidentale e di  accesso
abusivo o non autorizzato. Laddove  gli  elenchi,  i  registri  o  le
banche di dati siano tenuti con strumenti  elettronici  e  contengano
anche dati riguardanti la genealogia  o  lo  stato  di  salute  degli
interessati, le predette tecniche  devono  consentire,  altresi',  il
trattamento disgiunto dei dati genetici e relativi alla salute  dagli
altri dati personali che permettono di identificare  direttamente  le
persone interessate.
4.3 Informazioni agli interessati.
    Le informazioni  da  rendere  agli  interessati  ai  sensi  degli
articoli 13 e 14 del regolamento (UE) 2016/679 e anche ai sensi degli
articoli 77 e 78 del codice per il medico di medicina generale e  per
il pediatra di libera scelta, evidenziano, altresi':
      a) i risultati conseguibili anche  in  relazione  alle  notizie
inattese che possono essere conosciute per  effetto  del  trattamento
dei dati genetici;
      b) la facolta' o meno, per l'interessato, di limitare  l'ambito
di comunicazione dei dati genetici e il  trasferimento  dei  campioni
biologici, nonche' l'eventuale utilizzo di tali  dati  per  ulteriori
scopi.
    Dopo il raggiungimento della maggiore eta', le  informazioni  sul
trattamento di dati personali sono fornite all'interessato  anche  ai
fini dell'acquisizione di una nuova manifestazione del consenso (con.
38, 58, e articoli 5 e 8 del regolamento (UE)  2016/679  e  art.  82,
comma 4, del codice).
4.4 Consulenza genetica e attivita' di informazione.
    In relazione ai trattamenti effettuati mediante test genetici per
finalita' di tutela della salute o di ricongiungimento  familiare  e'
fornita all'interessato una  consulenza  genetica  prima  e  dopo  lo
svolgimento  dell'analisi.  Prima  dell'introduzione   di   screening
genetici finalizzati alla tutela della salute da parte  di  organismi
sanitari sono adottate idonee misure per  garantire  un'attivita'  di
informazione  al  pubblico  in  merito  alla  disponibilita'  e  alla
volontarieta'  dei  test  effettuati,  alle  specifiche  finalita'  e
conseguenze,  anche  nell'ambito  di  pubblicazioni  istituzionali  e
mediante reti di comunicazione elettronica.
    Il consulente genetista aiuta i soggetti interessati  a  prendere
in piena autonomia le decisioni ritenute piu' adeguate, tenuto  conto
del rischio genetico, delle aspirazioni familiari e dei loro principi
etico-religiosi, aiutandoli ad  agire  coerentemente  con  le  scelte
compiute, nonche' a realizzare il miglior adattamento possibile  alla
malattia e/o al rischio di ricorrenza della malattia stessa.
    Nei casi in cui il test sulla variabilita' individuale  e'  volto
ad accertare la paternita' o  la  maternita'  gli  interessati  sono,
altresi', informati circa la  normativa  in  materia  di  filiazione,
ponendo in evidenza le eventuali conseguenze psicologiche  e  sociali
dell'esame.
    L'attuazione di ricerche scientifiche su isolati  di  popolazione
e' preceduta da un'attivita'  di  informazione  presso  le  comunita'
interessate,  anche  mediante  adeguati  mezzi  di  comunicazione   e
presentazioni pubbliche, volta ad illustrare la natura della ricerca,
le finalita' perseguite, le modalita'  di  attuazione,  le  fonti  di
finanziamento e  i  rischi  o  benefici  attesi  per  le  popolazioni
coinvolte. L'attivita' di informazione evidenzia anche gli  eventuali
rischi  di  discriminazione  o   stigmatizzazione   delle   comunita'
interessate, nonche' quelli inerenti alla conoscibilita' di  inattesi
rapporti di consanguineita' e le azioni  intraprese  per  ridurre  al
minimo tali rischi.
4.5 Consenso.
    Il consenso al trattamento dei dati genetici e' necessario per:
      1. finalita' di  tutela  della  salute  di  un  soggetto  terzo
secondo quanto previsto al successivo punto 4.7;
      2.  lo  svolgimento  di   test   genetici   nell'ambito   delle
investigazioni difensive o per l'esercizio  di  un  diritto  in  sede
giudiziaria, salvo  che  un'espressa  disposizione  di  legge,  o  un
provvedimento dell'autorita' giudiziaria in conformita'  alla  legge,
disponga altrimenti (cfr. infra punto 4.9);
      3. i trattamenti effettuati mediante test genetici, compreso lo
screening, a fini di ricerca  o  di  ricongiungimento  familiare.  In
questi casi, all'interessato e'  richiesto  di  dichiarare  se  vuole
conoscere o meno i risultati dell'esame  o  della  ricerca,  comprese
eventuali notizie inattese che lo riguardano, qualora  queste  ultime
rappresentino per l'interessato un beneficio concreto  e  diretto  in
termini di terapia o di prevenzione o di consapevolezza delle  scelte
riproduttive (cfr. infra punto 4.10);
      4. finalita' di ricerca scientifica e statistica  non  previste
dalla legge o da altro requisito specifico  di  cui  all'art.  9  del
regolamento (cfr. infra punto 4.11).
4.5.1 Modalita' di raccolta e revoca del consenso.
    Per  le  informazioni  relative  ai  nascituri  il  consenso   e'
validamente prestato dalla gestante. Nel caso in cui  il  trattamento
effettuato mediante test prenatale possa rivelare anche dati genetici
relativi alla futura  insorgenza  di  una  patologia  del  padre,  e'
previamente acquisito anche il consenso di quest'ultimo.
    L'opinione del minore, nella misura in cui  lo  consente  la  sua
eta' e il suo  grado  di  maturita',  e',  ove  possibile,  presa  in
considerazione, restando preminente  in  ogni  caso  l'interesse  del
minore. Negli altri casi di incapacita', il trattamento e' consentito
se le  finalita'  perseguite  comportano  un  beneficio  diretto  per
l'interessato  e  la  sua  opinione  e',  ove  possibile,  presa   in
considerazione,  restando  preminente  in   ogni   caso   l'interesse
dell'incapace.
    In caso di revoca  del  consenso  da  parte  dell'interessato,  i
trattamenti devono cessare e i dati devono essere cancellati  o  resi
anonimi  anche  attraverso  la  distruzione  del  campione  biologico
prelevato.
4.6 Comunicazione e diffusione dei dati.
    Ferme  restando   le   norme   generali   che   disciplinano   la
comunicazione e la diffusione delle particolari  categorie  di  dati,
ivi compresi i dati genetici, tali operazioni di trattamento  possono
essere svolte nel rispetto delle seguenti prescrizioni  (art.  9  del
regolamento UE 2016/679 e art. 2-sexies del codice).
    Fatta eccezione per i dati personali forniti  in  precedenza  dal
medesimo  interessato,  i  dati  genetici  devono  essere  resi  noti
all'interessato o ai soggetti di cui all'art. 82,  comma  2,  lettera
a), del codice da parte di  esercenti  le  professioni  sanitarie  ed
organismi sanitari  solo  per  il  tramite  di  un  medico  designato
dall'interessato o dal titolare.
    Il titolare o il responsabile del trattamento possono autorizzare
per iscritto gli  esercenti  le  professioni  sanitarie  diversi  dai
medici, che nell'esercizio dei propri compiti intrattengono  rapporti
diretti con i pazienti e sono designati a trattare  dati  genetici  o
campioni biologici, a rendere noti i medesimi dati all'interessato  o
ai soggetti di cui all'art. 82, comma  2,  lettera  a),  del  codice.
Nelle istruzioni alle persone autorizzate  al  trattamento  dei  dati
sono  individuate  appropriate  modalita'  e  cautele  rapportate  al
contesto nel quale e' effettuato il trattamento di dati.
    I dati genetici devono essere resi noti, di regola,  direttamente
all'interessato o a persone  diverse  dal  diretto  interessato  solo
sulla base di una delega  scritta  di  quest'ultimo,  adottando  ogni
mezzo idoneo a prevenire la conoscenza non autorizzata  da  parte  di
soggetti  anche  compresenti.  La  comunicazione  nelle  mani  di  un
delegato dell'interessato e' eseguita in plico chiuso.
    Gli esiti di test e di screening genetici,  nonche'  i  risultati
delle ricerche qualora  comportino  per  l'interessato  un  beneficio
concreto  e  diretto  in  termini  di  terapia,  prevenzione   o   di
consapevolezza delle scelte riproduttive, devono essere comunicati al
medesimo interessato anche nel rispetto della  sua  dichiarazione  di
volonta'  di  conoscere  o  meno  tali  eventi  e,  ove   necessario,
unitamente a un'appropriata consulenza genetica.
    Gli esiti di test e di screening genetici,  nonche'  i  risultati
delle ricerche, qualora comportino un beneficio concreto e diretto in
termini di terapia, prevenzione  o  di  consapevolezza  delle  scelte
riproduttive, anche per gli appartenenti alla stessa  linea  genetica
dell'interessato, possono essere comunicati a questi ultimi, su  loro
richiesta, qualora l'interessato vi abbia espressamente  acconsentito
oppure qualora tali risultati siano  indispensabili  per  evitare  un
pregiudizio per la loro salute, ivi compreso il rischio riproduttivo,
e il consenso dell'interessato non sia prestato o  non  possa  essere
prestato per effettiva irreperibilita'.
    In  caso  di  ricerche  condotte  su  gruppi  di  popolazione   o
popolazioni  isolate,  devono  essere  resi   noti   alle   comunita'
interessate e alle autorita' locali  gli  eventuali  risultati  della
ricerca che rivestono un'importanza terapeutica o preventiva  per  la
tutela della salute delle persone appartenenti a tali comunita'.
4.7 Tutela della salute di un soggetto terzo.
    Ferme restando  le  specifiche  condizioni  in  ambito  sanitario
previste dall'art. 75 del codice, il trattamento di dati genetici per
finalita' di tutela della salute di un  soggetto  terzo  puo'  essere
effettuato  se  questi  appartiene  alla  medesima   linea   genetica
dell'interessato e con il consenso di quest'ultimo.
    Nel caso in cui il consenso dell'interessato non sia  prestato  o
non possa essere prestato per impossibilita' fisica, per  incapacita'
di agire o per incapacita'  d'intendere  o  di  volere,  nonche'  per
effettiva irreperibilita',  il  trattamento  puo'  essere  effettuato
limitatamente ai dati genetici disponibili qualora sia indispensabile
per  consentire  al  terzo  di  compiere  una   scelta   riproduttiva
consapevole o sia giustificato dalla necessita',  per  il  terzo,  di
interventi di natura  preventiva  o  terapeutica.  Nel  caso  in  cui
l'interessato sia deceduto, il  trattamento  puo'  comprendere  anche
dati genetici estrapolati dall'analisi dei campioni  biologici  della
persona deceduta, sempre che sia  indispensabile  per  consentire  al
terzo  di  compiere  una  scelta  riproduttiva  consapevole   o   sia
giustificato dalla necessita', per il terzo, di interventi di  natura
preventiva o terapeutica (cons. 27 del regolamento UE 2016/679).
4.8 Test presintomatici.
    Il  trattamento  di  dati  genetici  e  l'utilizzo  di   campioni
biologici   per   l'esecuzione   di   test   presintomatici   e    di
suscettibilita'  possono  essere  effettuati  esclusivamente  per  il
perseguimento di finalita' di tutela della salute, anche per compiere
scelte riproduttive consapevoli e per scopi  di  ricerca  finalizzata
alla tutela della salute.
    I trattamenti di dati connessi all'esecuzione  di  test  genetici
presintomatici possono essere effettuati sui minori non affetti, ma a
rischio per  patologie  genetiche  solo  nel  caso  in  cui  esistano
concrete possibilita' di  terapie  o  di  trattamenti  preventivi  da
applicare prima del raggiungimento della maggiore eta'. I test  sulla
variabilita' individuale non possono essere condotti su minori  senza
che venga acquisito il consenso di ambedue i genitori, ove esercitano
entrambi la potesta' sul minore.
4.9 Trattamento di dati genetici per lo svolgimento di investigazioni
  difensive ai sensi della legge 7 dicembre 2000, n. 397.
    Il trattamento di dati genetici finalizzato allo  svolgimento  di
investigazioni difensive ai sensi della legge  7  dicembre  2000,  n.
397,  anche  a  mezzo  di  sostituti,   di   consulenti   tecnici   e
investigatori privati  autorizzati,  o,  comunque,  a  far  valere  o
difendere un diritto anche da parte di un terzo in sede  giudiziaria,
deve essere effettuato con il consenso dell'interessato solo nel caso
in cui presupponga lo svolgimento di test genetici.
    Il consenso informato e' richiesto alla persona cui appartiene il
materiale biologico necessario all'indagine,  salvo  che  un'espressa
disposizione di legge, o un provvedimento dell'autorita'  giudiziaria
in conformita' alla legge, disponga altrimenti.
    Cio', sempre che il diritto da far  valere  o  difendere  sia  di
rango pari  a  quello  dell'interessato,  ovvero  consistente  in  un
diritto  della  personalita'  o  in  un  altro  diritto  o   liberta'
fondamentale e inviolabile e i dati siano trattati esclusivamente per
tali finalita' e per  il  periodo  strettamente  necessario  al  loro
perseguimento (art. 60 del codice).
4.10 Trattamento di dati genetici per finalita'  di  ricongiungimento
  familiare e vincoli di consanguineita'.
    Gli organismi internazionali ritenuti idonei dal Ministero  degli
affari esteri e della cooperazione internazionale e le rappresentanze
diplomatiche o consolari ai fini del  rilascio  delle  certificazioni
(allo stato disciplinate  dall´art.  52  del  decreto  legislativo  3
febbraio 2011, n. 71) possono trattare dati genetici  per  consentire
il  ricongiungimento  familiare  limitatamente   ai   casi   in   cui
l'interessato non possa documentare in modo certo i suoi  vincoli  di
consanguineita' mediante certificati  o  attestazioni  rilasciati  da
competenti  autorita'  straniere,  in  ragione  della   mancanza   di
un'autorita' riconosciuta o comunque quando sussistano fondati  dubbi
sulla autenticita' della predetta documentazione (cfr. anche  decreto
legislativo 25 luglio 1998, n. 286).
    In ipotesi di realizzazione di  test  o  screening  genetici  per
finalita' di ricongiungimento familiare e'  necessario  acquisire  il
consenso  degli  interessati;  agli  interessati  e'   richiesto   di
dichiarare se vogliono  conoscere  o  meno  i  risultati  dell'esame,
comprese eventuali notizie inattese che li riguardano, qualora queste
ultime rappresentino per gli  interessati  un  beneficio  concreto  e
diretto in termini di terapia o di prevenzione  o  di  consapevolezza
delle scelte riproduttive.
    I dati genetici raccolti a  fini  di  ricongiungimento  familiare
possono essere comunicati unicamente alle rappresentanze diplomatiche
o  consolari  competenti  all'esame  della  documentazione   prodotta
dall'interessato o all'organismo internazionale ritenuto  idoneo  dal
Ministero degli affari esteri e della cooperazione internazionale cui
l'interessato si sia  rivolto.  I  campioni  biologici  prelevati  ai
medesimi fini possono essere  trasferiti  unicamente  al  laboratorio
designato per l'effettuazione del test sulla variabilita' individuale
o all'organismo internazionale ritenuto idoneo  dal  Ministero  degli
affari esteri e della cooperazione internazionale.
4.11  Trattamento  di  dati  genetici  per   finalita'   di   ricerca
  scientifica e statistica.
    Il  trattamento  di  dati  genetici  e  campioni  biologici   per
finalita' di ricerca scientifica e statistica, e' consentito solo  se
volto alla tutela della salute dell'interessato,  di  terzi  o  della
collettivita' in campo medico,  biomedico  ed  epidemiologico,  anche
nell'ambito della sperimentazione clinica o ricerca scientifica volta
a sviluppare le tecniche di analisi genetica.
    Il trattamento deve essere  svolto  sulla  base  di  un  progetto
redatto  conformemente   agli   standard   del   pertinente   settore
disciplinare, anche al fine di documentare  che  il  trattamento  dei
dati e l'utilizzo dei campioni biologici sia effettuato per idonei ed
effettivi scopi scientifici.
    Il progetto specifica le misure da adottare nel  trattamento  dei
dati personali per garantire il rispetto del presente  provvedimento,
nonche' della normativa sulla protezione dei  dati  personali,  anche
per i profili riguardanti la custodia e la sicurezza dei dati  e  dei
campioni  biologici,  e  individua  gli  eventuali  responsabili  del
trattamento (art. 28 del regolamento UE  2016/679).  In  particolare,
laddove la ricerca preveda il prelievo  e/o  l'utilizzo  di  campioni
biologici, il progetto indica l'origine, la natura e le modalita'  di
prelievo e di conservazione dei campioni, nonche' le misure  adottate
per  garantire  la  volontarieta'  del  conferimento  del   materiale
biologico da parte dell'interessato.
    Il  progetto  e'  conservato  in  forma  riservata  (essendo   la
consultazione del progetto possibile ai soli  fini  dell'applicazione
della normativa in materia di  protezione  dei  dati  personali)  per
cinque anni dalla conclusione programmata della ricerca.
    Quando le  finalita'  della  ricerca  possono  essere  realizzate
soltanto   tramite   l'identificazione   anche    temporanea    degli
interessati, il titolare del trattamento adotta specifiche misure per
mantenere separati i dati identificativi  dai  campioni  biologici  e
dalle informazioni genetiche gia' al momento  della  raccolta,  salvo
che  cio'  risulti   impossibile   in   ragione   delle   particolari
caratteristiche del  trattamento  o  richieda  un  impiego  di  mezzi
manifestamente sproporzionato.
4.11.1 Informazioni agli interessati.
    In relazione ai  trattamenti  effettuati  per  scopi  di  ricerca
scientifica e statistica, nelle informazioni fornite agli interessati
si evidenziano, altresi':
      a) gli accorgimenti adottati per  consentire  l'identificazione
degli interessati soltanto per il tempo necessario agli  scopi  della
raccolta o del successivo trattamento (art.  25  del  regolamento  UE
2016/679);
      b) le modalita'  con  cui  gli  interessati,  che  ne  facciano
richiesta, possono accedere alle informazioni contenute nel  progetto
di ricerca.
    I trattamenti effettuati  mediante  test  genetici,  compreso  lo
screening,  a  fini  di  ricerca  necessitano  del   consenso   degli
interessati;  in  questi  casi  agli  interessati  e'  richiesto   di
dichiarare se vogliono conoscere o meno i  risultati  della  ricerca,
comprese eventuali notizie inattese che li riguardano, qualora queste
ultime rappresentino per gli  interessati  un  beneficio  concreto  e
diretto in termini di terapia o di prevenzione  o  di  consapevolezza
delle scelte riproduttive.
4.11.2 Consenso.
    Fermo quanto previsto al punto 4.5, i dati genetici e i  campioni
biologici di persone che non possono fornire il proprio consenso  per
incapacita',  possono  essere  trattati  per  finalita'  di   ricerca
scientifica che non comportino un beneficio diretto  per  i  medesimi
interessati  qualora   ricorrano   contemporaneamente   le   seguenti
condizioni:
      a) la ricerca e' finalizzata al miglioramento della  salute  di
altre persone appartenenti allo stesso gruppo d'eta' o  che  soffrono
della stessa patologia o che si trovano nelle stesse condizioni e  il
programma di ricerca e' oggetto di  motivato  parere  favorevole  del
competente comitato etico a livello territoriale;
      b) una ricerca di analoga finalita' non puo' essere  realizzata
mediante il trattamento  di  dati  riferiti  a  persone  che  possono
prestare il proprio consenso;
      c) il consenso al trattamento  e'  acquisito  da  chi  esercita
legalmente la potesta',  ovvero  da  un  prossimo  congiunto,  da  un
familiare, da un convivente o,  in  loro  assenza,  dal  responsabile
della struttura presso cui dimora l'interessato;
      d)  la  ricerca  non  comporta  rischi  significativi  per   la
dignita', i diritti e le liberta' fondamentali degli interessati.
    In tali  casi,  resta  fermo  quanto  sopra  previsto  in  ordine
all'esigenza di tenere in considerazione, ove  possibile,  l'opinione
del minore o dell'incapace.
    Nel caso in cui l'interessato revochi il consenso al  trattamento
dei dati per  scopi  di  ricerca,  e'  distrutto  anche  il  campione
biologico sempre che sia stato prelevato per tali scopi,  salvo  che,
in origine o a seguito di trattamento, il  campione  non  possa  piu'
essere riferito ad una persona identificata o identificabile.
4.11.3 Conservazione a fini di ricerca e ulteriore trattamento.
    In assenza del consenso degli interessati, i  campioni  biologici
prelevati e i dati genetici raccolti per scopi di tutela della salute
possono essere conservati  e  utilizzati  per  finalita'  di  ricerca
scientifica o statistica nei seguenti casi:
      a) indagini statistiche o ricerche  scientifiche  previste  dal
diritto dell'Unione europea, dalla legge o, nei casi  previsti  dalla
legge, da regolamento;
      b)  limitatamente   al   perseguimento   di   ulteriori   scopi
scientifici e statistici direttamente  collegati  con  quelli  per  i
quali e' stato originariamente acquisito il consenso informato  degli
interessati.
    Quando a causa di particolari ragioni non e' possibile  informare
gli interessati malgrado sia stato compiuto ogni  ragionevole  sforzo
per raggiungerli, la conservazione e l'ulteriore utilizzo di campioni
biologici e  di  dati  genetici  raccolti  per  la  realizzazione  di
progetti  di  ricerca  e  indagini  statistiche,  diversi  da  quelli
originari, sono consentiti se una ricerca di  analoga  finalita'  non
puo' essere realizzata mediante il trattamento  di  dati  riferiti  a
persone dalle quali puo' essere o  e'  stato  acquisito  il  consenso
informato e:
      aa) il programma di ricerca  comporta  l'utilizzo  di  campioni
biologici e di  dati  genetici  che  in  origine  non  consentono  di
identificare gli interessati, ovvero che, a seguito  di  trattamento,
non consentono di identificare i medesimi interessati e  non  risulta
che  questi  ultimi  abbiano  in   precedenza   fornito   indicazioni
contrarie;
      bb) ovvero il programma di ricerca, preventivamente oggetto  di
motivato parere favorevole del competente comitato  etico  a  livello
territoriale, e' sottoposto a preventiva consultazione del Garante ai
sensi dell'art. 36 del regolamento (UE) 2016/679.
4.11.4 Comunicazione e diffusione dei dati.
    I dati genetici e i campioni  biologici  raccolti  per  scopi  di
ricerca  scientifica  e  statistica  possono  essere   comunicati   o
trasferiti a enti e istituti di ricerca,  alle  associazioni  e  agli
altri organismi pubblici  e  privati  aventi  finalita'  di  ricerca,
nell'ambito di progetti congiunti e nel  rispetto  dell'art.  26  del
regolamento.
    I dati genetici e i campioni  biologici  raccolti  per  scopi  di
ricerca  scientifica  e  statistica  possono  essere   comunicati   o
trasferiti  ai  soggetti  sopra  indicati,  qualora  siano   autonomi
titolari del trattamento, limitatamente alle  informazioni  prive  di
dati identificativi, per scopi scientifici direttamente  collegati  a
quelli per i quali sono stati originariamente raccolti e  chiaramente
determinati per iscritto nella richiesta dei dati e/o  dei  campioni.
In tal caso, il soggetto richiedente si impegna a non trattare i dati
e/o utilizzare i campioni per fini diversi da quelli  indicati  nella
richiesta e a non comunicarli o trasferirli ulteriormente a terzi.
5. Prescrizioni relative al trattamento dei dati personali effettuato
  per scopi di ricerca scientifica (aut. gen. n. 9/2016).
5.1 Ambito di applicazione.
    Le presenti prescrizioni concernono il trattamento effettuato da:
      a) universita', altri enti o istituti  di  ricerca  e  societa'
scientifiche, nonche' ricercatori che operano  nell'ambito  di  dette
universita', enti, istituti di ricerca e ai soci  di  dette  societa'
scientifiche;
      b) esercenti le professioni sanitarie e gli organismi sanitari;
      c) persone fisiche o giuridiche, enti, associazioni e organismi
privati, nonche' soggetti specificatamente  preposti  al  trattamento
quali  designati  o  responsabili   del   trattamento   (ricercatori,
commissioni  di  esperti,  organizzazioni  di  ricerca  a  contratto,
laboratori di analisi, ecc.) (art. 2-quaterdecies del codice; art. 28
del regolamento UE 2016/679).
5.2 Tipologie di ricerche.
    Le  seguenti  prescrizioni  concernono  il  trattamento  di  dati
personali   per   finalita'   di   ricerca   medica,   biomedica   ed
epidemiologica effettuati quando:
      il  trattamento  e'  necessario  per  la  conduzione  di  studi
effettuati con dati raccolti in  precedenza  a  fini  di  cura  della
salute o per l'esecuzione di precedenti progetti  di  ricerca  ovvero
ricavati da campioni biologici prelevati in precedenza per  finalita'
di tutela della salute o per l'esecuzione di precedenti  progetti  di
ricerca oppure,
      il  trattamento  e'  necessario  per  la  conduzione  di  studi
effettuati con dati riferiti a persone che, in ragione della gravita'
del  loro  stato  clinico,  non  sono  in  grado  di  comprendere  le
indicazioni  rese  nell'informativa  e  di  prestare  validamente  il
consenso.
    In questi casi la ricerca deve essere effettuata sulla base di un
progetto,  oggetto  di  motivato  parere  favorevole  del  competente
comitato etico a livello territoriale.
5.3 Consenso.
    Il consenso dell'interessato non e' necessario quando la  ricerca
e' effettuata in base a disposizioni di legge o di regolamento  o  al
diritto dell'Unione europea.
    Negli altri casi, quando non e' possibile acquisire  il  consenso
degli interessati, i titolari del trattamento devono documentare, nel
progetto di ricerca, la sussistenza delle  ragioni,  considerate  del
tutto  particolari  o  eccezionali,  per  le  quali   informare   gli
interessati risulta impossibile o implica uno sforzo  sproporzionato,
oppure rischia di rendere impossibile o di pregiudicare gravemente il
conseguimento  delle  finalita'  della  ricerca,  tra  le  quali   in
particolare:
      1.  i  motivi  etici   riconducibili   alla   circostanza   che
l'interessato ignora  la  propria  condizione.  Rientrano  in  questa
categoria le ricerche per le quali l'informativa sul trattamento  dei
dati da rendere agli  interessati  comporterebbe  la  rivelazione  di
notizie concernenti la conduzione  dello  studio  la  cui  conoscenza
potrebbe arrecare un danno materiale o psicologico  agli  interessati
stessi (possono rientrare in questa ipotesi, ad  esempio,  gli  studi
epidemiologici sulla distribuzione di un fattore che predica o  possa
predire lo sviluppo di uno stato morboso per il quale non  esista  un
trattamento);
      2. i motivi di impossibilita' organizzativa riconducibili  alla
circostanza che la mancata considerazione dei dati riferiti al numero
stimato  di  interessati  che  non  e'   possibile   contattare   per
informarli, rispetto  al  numero  complessivo  dei  soggetti  che  si
intende   coinvolgere   nella   ricerca,   produrrebbe    conseguenze
significative per lo studio in termini di  alterazione  dei  relativi
risultati;  cio'  avuto  riguardo,  in  particolare,  ai  criteri  di
inclusione previsti dallo studio,  alle  modalita'  di  arruolamento,
alla  numerosita'  statistica  del  campione  prescelto,  nonche'  al
periodo di tempo trascorso dal momento in cui i  dati  riferiti  agli
interessati sono stati originariamente raccolti (ad esempio, nei casi
in cui lo  studio  riguarda  interessati  con  patologie  ad  elevata
incidenza di mortalita' o in fase terminale della malattia o in  eta'
avanzata e in gravi condizioni di salute).
      Con riferimento a tali motivi di impossibilita'  organizzativa,
le seguenti prescrizioni concernono anche il trattamento dei dati  di
coloro i quali, all'esito di ogni  ragionevole  sforzo  compiuto  per
contattarli (anche attraverso la verifica dello  stato  in  vita,  la
consultazione  dei  dati  riportati  nella  documentazione   clinica,
l'impiego dei  recapiti  telefonici  eventualmente  forniti,  nonche'
l'acquisizione dei dati di contatto presso l'anagrafe degli assistiti
o  della  popolazione  residente)   risultino   essere   al   momento
dell'arruolamento nello studio:
        deceduti o
        non contattabili.
      Resta fermo l'obbligo di rendere l'informativa agli interessati
inclusi nella ricerca in tutti i casi in cui, nel corso dello studio,
cio' sia possibile e, in particolare, laddove questi si rivolgano  al
centro di cura, anche per visite  di  controllo,  anche  al  fine  di
consentire loro di esercitare i diritti previsti dal regolamento;
      3. motivi di salute riconducibili  alla  gravita'  dello  stato
clinico in cui versa  l'interessato  a  causa  del  quale  questi  e'
impossibilitato a comprendere le indicazioni rese nell'informativa  e
a prestare validamente il consenso. In  tali  casi,  lo  studio  deve
essere volto al miglioramento dello stesso stato clinico in cui versa
l'interessato. Inoltre, occorre comprovare  che  le  finalita'  dello
studio non possano essere conseguite mediante il trattamento di  dati
riferiti a persone  in  grado  di  comprendere  le  indicazioni  rese
nell'informativa e di prestare validamente il consenso  o  con  altre
metodologie di ricerca. Cio',  avuto  riguardo,  in  particolare,  ai
criteri di  inclusione  previsti  dallo  studio,  alle  modalita'  di
arruolamento, alla numerosita'  statistica  del  campione  prescelto,
nonche' all'attendibilita' dei risultati  conseguibili  in  relazione
alle specifiche  finalita'  dello  studio.  Con  riferimento  a  tali
motivi, deve essere acquisito  il  consenso  delle  persone  indicate
nell´art. 82, comma 2, lettera a), del  codice  come  modificato  dal
decreto legislativo n. 101/2018. Cio', fermo restando  che  sia  resa
all'interessato l'informativa sul trattamento dei dati non appena  le
condizioni di salute glielo consentano, anche al fine  dell'esercizio
dei diritti previsti dal regolamento.
5.4 Modalita' di trattamento.
    Ove  la  ricerca  non  possa  raggiungere  i  suoi  scopi   senza
l'identificazione,   anche   temporanea,   degli   interessati,   nel
trattamento successivo alla raccolta  retrospettiva  dei  dati,  sono
adottate tecniche di cifratura o di pseudonimizzazione  oppure  altre
soluzioni che, considerato il volume dei dati  trattati,  la  natura,
l'oggetto, il contesto e le finalita' del trattamento, li rendono non
direttamente   riconducibili   agli   interessati,   permettendo   di
identificare questi ultimi solo in  caso  di  necessita'.  In  questi
casi, i codici utilizzati non  sono  desumibili  dai  dati  personali
identificativi degli interessati, salvo che cio' risulti  impossibile
in  ragione  delle  particolari  caratteristiche  del  trattamento  o
richieda un impiego di  mezzi  manifestamente  sproporzionato  e  sia
motivato, altresi', per iscritto, nel progetto di ricerca.
    L'abbinamento al materiale di  ricerca  dei  dati  identificativi
dell'interessato, sempre che sia  temporaneo  ed  essenziale  per  il
risultato della ricerca, e' motivato, inoltre, per iscritto.
    In applicazione del principio di minimizzazione,  il  trattamento
di dati personali per scopi di ricerca scientifica in  campo  medico,
biomedico o epidemiologico  puo'  riguardare  i  dati  relativi  alla
salute  degli  interessati  e,  solo  ove   indispensabili   per   il
raggiungimento delle finalita' della ricerca, congiuntamente anche  i
dati relativi alla vita sessuale o all'orientamento sessuale, nonche'
all'origine razziale ed etnica (art. 5, paragrafo 1, lettera c),  del
regolamento UE 2016/679).
5.5 Comunicazione e diffusione.
    I soggetti che agiscono in qualita' di titolari  del  trattamento
per le finalita'  in  esame,  anche  unitamente  ad  altri  titolari,
possono comunicare tra loro i dati personali oggetto  della  presente
autorizzazione nella misura in cui rivestano il ruolo  di  promotore,
di centro coordinatore o di centro  partecipante  e  l'operazione  di
comunicazione sia indispensabile per la conduzione dello studio.
    In aggiunta al divieto  di  diffusione  dei  dati  relativi  alla
salute degli interessati (art. 2-septies  del  codice),  non  possono
essere  diffusi   anche   quelli   relativi   alla   vita   sessuale,
all'orientamento sessuale e all'origine razziale ed etnica utilizzati
per la conduzione dello studio.
5.6 Conservazione dei dati e dei campioni.
    I dati e i campioni biologici utilizzati per  l'esecuzione  della
ricerca  sono   conservati   mediante   tecniche   di   cifratura   o
l'utilizzazione di codici identificativi oppure  di  altre  soluzioni
che, considerato il numero dei dati e dei campioni conservati, non li
rendono direttamente riconducibili agli interessati, per  un  periodo
di tempo non superiore a quello necessario agli  scopi  per  i  quali
essi sono stati raccolti o successivamente trattati.
    A tal fine, e' indicato nel progetto di  ricerca  il  periodo  di
conservazione, successivo alla conclusione dello studio,  al  termine
del quale i predetti dati e campioni sono anonimizzati.
5.7 Custodia e sicurezza.
    Fermo  restando  l'obbligo  di  adottare  le  misure  tecniche  e
organizzative per garantire  un  livello  di  sicurezza  adeguato  al
rischio, sono impiegati dal/i titolare/i  del  trattamento,  ciascuno
per la parte di propria competenza in relazione  al  ruolo  ricoperto
nel  trattamento  dei  dati  e  alle   conseguenti   responsabilita',
specifiche misure e accorgimenti tecnici per incrementare il  livello
di sicurezza dei dati trattati per l'esecuzione dello studio.
    Cio' sia nella fase di memorizzazione o  archiviazione  dei  dati
(e,  eventualmente,  di  raccolta  e   conservazione   dei   campioni
biologici), sia nella fase successiva di elaborazione delle  medesime
informazioni, nonche' nella successiva fase di trasmissione dei  dati
al promotore o ai soggetti esterni che collaborano con il  primo  per
l'esecuzione dello studio. Sono adottati, in particolare:
      a. accorgimenti adeguati a garantire la qualita' dei dati e  la
corretta attribuzione agli interessati;
      b. idonei accorgimenti per garantire  la  protezione  dei  dati
dello  studio  dai  rischi  di  accesso  abusivo  ai  dati,  furto  o
smarrimento parziali o integrali dei supporti di memorizzazione o dei
sistemi di elaborazione portatili o  fissi  (ad  esempio,  attraverso
l'applicazione parziale o integrale di  tecnologie  crittografiche  a
file system o database, oppure tramite l'adozione di altre misure che
rendano inintelligibili i dati ai  soggetti  non  legittimati)  nelle
operazioni di registrazione e archiviazione dei dati;
      c. canali di trasmissione protetti, tenendo conto  dello  stato
dell'arte della tecnologia, nei casi in cui si  renda  necessaria  la
comunicazione dei dati raccolti nell'ambito dello studio a una  banca
dati centralizzata dove sono memorizzati e archiviati  oppure  ad  un
promotore o a soggetti esterni di cui lo stesso promotore  si  avvale
per la  conduzione  dello  studio.  Laddove  detta  trasmissione  sia
effettuata  mediante  supporto  ottico  (CD-ROM)  e'  designato   uno
specifico incaricato  della  ricezione  presso  il  promotore  ed  e'
utilizzato, per la condivisione della chiave di cifratura  dei  dati,
un canale di trasmissione differente  da  quello  utilizzato  per  la
trasmissione del contenuto;
      d. tecniche  di  etichettatura,  nella  conservazione  e  nella
trasmissione di campioni biologici, mediante  codici  identificativi,
oppure  altre  soluzioni  che,  considerato  il  numero  di  campioni
utilizzati,  li   rendono   non   direttamente   riconducibili   agli
interessati, permettendo di identificare questi ultimi solo  in  caso
di necessita';
      e. con specifico riferimento alle  operazioni  di  elaborazione
dei dati dello studio memorizzati in una banca dati centralizzata, e'
necessario adottare:
        idonei sistemi di autenticazione e di autorizzazione  per  il
personale preposto al trattamento in funzione dei ruoli  ricoperti  e
delle esigenze di accesso e trattamento, avendo  cura  di  utilizzare
credenziali di validita' limitata  alla  durata  dello  studio  e  di
disattivarle al termine dello stesso;
        procedure per la verifica periodica della qualita' e coerenza
delle credenziali di autenticazione e dei profili  di  autorizzazione
assegnati ai soggetti designati al trattamento;
        sistemi di audit  log  per  il  controllo  degli  accessi  al
database e per il rilevamento di eventuali anomalie.

Nessun commento: