GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 5 giugno 2019
Prescrizioni relative al trattamento di categorie particolari di
dati, ai sensi dell'articolo 21, comma 1 del decreto legislativo 10
agosto 2018, n. 101. (Provvedimento n. 146). (19A04879)
(GU n.176 del 29-7-2019)
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vicepresidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(di seguito «regolamento»);
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali, di seguito il «codice»)
come novellato dal decreto legislativo 10 agosto 2018, n. 101,
recante «Disposizioni per l'adeguamento della normativa nazionale
alle disposizioni del regolamento (UE) 2016/679»;
Viste le autorizzazioni generali adottate ai sensi degli articoli
26 e 40 del codice;
Considerato che gli articoli 26 e 40 del codice sono stati abrogati
dall'art. 27, comma 1, lettera a), n. 2), del citato decreto
legislativo n. 101/2018;
Considerato che l'art. 21 del decreto legislativo n. 101/2018, in
attuazione delle disposizioni del regolamento, ha demandato al
Garante il compito di individuare, con proprio provvedimento di
carattere generale, le prescrizioni contenute nelle autorizzazioni
generali gia' adottate, relative alle situazioni di trattamento di
cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2,
lettera b) e 4, nonche' al Capo IX, del regolamento, che risultano
compatibili con le disposizioni comunitarie e il decreto medesimo che
ha novellato il codice, provvedendo, altresi', al loro aggiornamento
ove occorrente;
Ritenuto di dare attuazione al citato art. 21 del decreto
legislativo n. 101/2018 a mezzo del presente provvedimento, che
produce effetti fino all'adozione, per le parti di pertinenza, delle
regole deontologiche e delle misure di garanzia di cui agli articoli
2-quater e 2-septies del codice;
Rilevato che l'autorizzazione generale al trattamento dei dati
giudiziari da parte di privati, di enti pubblici economici e di
soggetti pubblici n. 7/2016, alla luce della disciplina applicabile
ai medesimi dati contenuta nel regolamento e nel codice (art. 10 del
regolamento; art. 2-octies del codice e art. 21 del decreto
legislativo n. 101/2018), ha cessato di produrre effetti giuridici
alla data del 19 settembre u.s., ai sensi del comma 3 della citata
disposizione;
Considerato che a decorrere dal 25 maggio 2018 l'espressione «dati
sensibili» si intende riferita alle categorie particolari di dati di
cui al citato art. 9 del regolamento (art. 22, comma 2, del decreto
legislativo n. 101/2018);
Visto l'art. 9 del regolamento, che individua i presupposti per il
trattamento dei dati personali che rivelano l'origine razziale o
etnica, le opinioni politiche, le convinzioni religiose o
filosofiche, l'appartenenza sindacale, nonche' dei dati genetici, dei
dati biometrici intesi a identificare in modo univoco una persona
fisica e dei dati relativi alla salute o alla vita sessuale o
all'orientamento sessuale della persona (c.d. «categorie particolari
di dati personali», paragrafo 1) e che consente agli Stati membri di
introdurre ulteriori condizioni, comprese limitazioni, con riguardo
al trattamento di dati genetici, biometrici o relativi alla salute
(paragrafo 4);
Rilevato che restano in ogni caso fermi gli obblighi previsti da
norme di legge o di regolamento o dalla normativa eurounitaria che
stabiliscono divieti o limiti piu' restrittivi in materia di
trattamento di dati personali;
Visto l'art. 2-decies, del codice, secondo cui i dati trattati in
violazione della disciplina rilevante in materia di trattamento di
dati personali non possono essere utilizzati, salvo quanto previsto
dall'art. 160-bis dello stesso codice;
Considerato che, in base all'art. 21, comma 5, del decreto
legislativo n. 101/2018, la violazione delle prescrizioni contenute
nel presente provvedimento generale sono soggette alla sanzione
amministrativa di cui all'art. 83, paragrafo 5, del regolamento;
Visto il provvedimento generale del 13 dicembre 2018, n. 497, con
il quale il Garante ha individuato le prescrizioni contenute nelle
autorizzazioni generali numeri 1/2016, 3/2016, 6/2016, 8/2016 e
9/2016 che risultano compatibili con il regolamento e con il decreto
legislativo n. 101/2018 di adeguamento del codice;
Visto che con il medesimo provvedimento il Garante ha deliberato,
come richiesto dall'art. 21, comma 1, del decreto legislativo n.
101/2018, di avviare una consultazione pubblica volta ad acquisire
osservazioni e proposte riguardo alle predette prescrizioni che si e'
conclusa decorsi sessanta giorni dalla data di pubblicazione del
relativo avviso (Gazzetta ufficiale n. 9 dell'11 gennaio 2019);
Viste le osservazioni e le proposte pervenute al Garante inerenti
ai risvolti applicativi del richiamato provvedimento prescrittivo da
parte di soggetti interessati, associazioni di categoria e
organizzazioni rappresentative dei settori di riferimento;
Ritenuto di apportare specifiche modifiche e integrazioni, alla
luce dei contributi maggiormente significativi e pertinenti inviati
dai partecipanti alla consultazione, anche al fine di rendere
maggiormente chiare e precise le prescrizioni indicate nonche' di
armonizzarle nel contesto normativo vigente;
Visto l'art. 170 del codice come sostituito dall'art. 15, comma 1,
lettera e), del decreto legislativo n. 101/2018;
Visti gli articoli 21, comma 5, del decreto legislativo n. 101/2018
e 83, paragrafo 5, del regolamento;
Visti gli atti d´ufficio;
Viste le osservazioni formulate dal segretario generale ai sensi
dell´art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
Tutto cio' premesso
il Garante:
Ai sensi dell'art. 21, comma 1, del decreto legislativo 10 agosto
2018, n. 101, adotta il presente provvedimento recante le
prescrizioni relative alle situazioni di trattamento di cui agli
articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b)
e 4, nonche' al Capo IX del regolamento riportate nell'allegato 1
facente parte integrante del provvedimento medesimo, e ne dispone la
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai
sensi dell'art. 21, comma 2, del decreto legislativo n. 101/2018.
Roma, 5 giugno 2019
Il presidente
Soro
Il relatore
Iannini
Il segretario generale
Busia
Allegato 1
1. Prescrizioni relative al trattamento di categorie particolari di
dati nei rapporti di lavoro (aut. gen. n. 1/2016).
I trattamenti dei dati personali nel contesto lavorativo, alla
luce del quadro normativo delineato dal regolamento (UE) 2016/679,
sono considerati se effettuati da datori di lavoro sia pubblici che
privati (cfr. articoli 88 e 9, paragrafo 2, lettera b), del
regolamento UE 2016/679); cio', diversamente dall'impianto del codice
anteriore alle modifiche del decreto legislativo n. 101/2018.
1.1 Ambito di applicazione.
Il presente provvedimento si applica nei confronti di tutti
coloro che, a vario titolo (titolare/responsabile del trattamento),
effettuano trattamenti per finalita' d'instaurazione, gestione ed
estinzione del rapporto di lavoro, in particolare:
a) agenzie per il lavoro e altri soggetti che, in conformita'
alla legge, svolgono, nell'interesse di terzi, attivita' di
intermediazione, ricerca e selezione del personale o supporto alla
ricollocazione professionale ivi compresi gli enti di formazione
accreditati;
b) persone fisiche e giuridiche, imprese, anche sociali, enti,
associazioni e organismi che sono parte di un rapporto di lavoro o
che utilizzano prestazioni lavorative anche atipiche, parziali o
temporanee, o che comunque conferiscono un incarico professionale
alle figure indicate al successivo punto 1.2, lettere c) e d);
c) organismi paritetici o che gestiscono osservatori in materia
di lavoro, previsti dalla normativa dell'Unione europea, dalle leggi,
dai regolamenti o dai contratti collettivi anche aziendali;
d) rappresentante dei lavoratori per la sicurezza, anche
territoriale e di sito;
e) soggetti che curano gli adempimenti in materia di lavoro, di
previdenza ed assistenza sociale e fiscale nell'interesse di altri
soggetti che sono parte di un rapporto di lavoro dipendente o
autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina
la professione di consulente del lavoro;
f) associazioni, organizzazioni, federazioni o confederazioni
rappresentative di categorie di datori di lavoro, al solo fine di
perseguire scopi determinati e legittimi individuati dagli statuti di
associazioni, organizzazioni, federazioni o confederazioni
rappresentative di categorie di datori di lavoro o dai contratti
collettivi in materia di assistenza sindacale ai datori di lavoro;
g) medico competente in materia di salute e sicurezza sul
lavoro, che opera in qualita' di libero professionista o di
dipendente del datore di lavoro o di strutture convenzionate.
1.2 Interessati ai quali i dati si riferiscono.
Il presente provvedimento si applica ai trattamenti di categorie
particolari di dati personali, acquisiti di regola direttamente
presso l'interessato, riferiti a:
a) candidati all'instaurazione dei rapporti di lavoro, anche in
caso di curricula spontaneamente trasmessi dagli interessati ai fini
dell'instaurazione di un rapporto di lavoro (art. 111-bis del
codice);
b) lavoratori subordinati, anche se parti di un contratto di
apprendistato, di formazione, a termine, di lavoro intermittente, di
lavoro occasionale ovvero praticanti per l'abilitazione
professionale, ovvero prestatori di lavoro nell'ambito di un
contratto di somministrazione di lavoro, o in rapporto di tirocinio,
ovvero ad associati anche in compartecipazione;
c) consulenti e liberi professionisti, agenti, rappresentanti e
mandatari;
d) soggetti che svolgono collaborazioni organizzate dal
committente, o altri lavoratori autonomi in rapporto di
collaborazione, anche sotto forma di prestazioni di lavoro
accessorio, con i soggetti indicati nel precedente punto 1.1;
e) persone fisiche che ricoprono cariche sociali o altri
incarichi nelle persone giuridiche, negli enti, nelle associazioni e
negli organismi indicati nel precedente punto 1.1;
f) terzi danneggiati nell'esercizio dell'attivita' lavorativa o
professionale;
g) terzi (familiari o conviventi dei soggetti di cui alle
precedenti lettere b) e d) per il rilascio di agevolazioni e
permessi.
1.3 Finalita' del trattamento.
Il trattamento delle categorie particolari di dati personali e'
effettuato solo se necessario (art. 9, paragrafo 2, del regolamento
UE 2016/679):
a) per adempiere o per esigere l'adempimento di specifici
obblighi o per eseguire specifici compiti previsti dalla normativa
dell'Unione europea, da leggi, da regolamenti o da contratti
collettivi anche aziendali, ai sensi del diritto interno, in
particolare ai fini dell'instaurazione, gestione ed estinzione del
rapporto di lavoro (art. 88 del regolamento UE 2016/679), nonche' del
riconoscimento di agevolazioni ovvero dell'erogazione di contributi,
dell'applicazione della normativa in materia di previdenza ed
assistenza anche integrativa, o in materia di igiene e sicurezza del
lavoro, nonche' in materia fiscale e sindacale;
b) anche fuori dei casi di cui alla lettera a), in conformita'
alla legge e per scopi determinati e legittimi, ai fini della tenuta
della contabilita' o della corresponsione di stipendi, assegni,
premi, altri emolumenti, liberalita' o benefici accessori;
c) per perseguire finalita' di salvaguardia della vita o
dell'incolumita' fisica del lavoratore o di un terzo;
d) per far valere o difendere un diritto, anche da parte di un
terzo, in sede giudiziaria, nonche' in sede amministrativa o nelle
procedure di arbitrato e di conciliazione, nei casi previsti dalle
leggi, dalla normativa dell'Unione europea, dai regolamenti o dai
contratti collettivi, sempre che i dati siano trattati esclusivamente
per tali finalita' e per il periodo strettamente necessario al loro
perseguimento; il trattamento di dati personali effettuato per
finalita' di tutela dei propri diritti in giudizio deve riferirsi a
contenziosi in atto o a situazioni precontenziose; resta salvo quanto
stabilito dall'art. 60 del codice;
e) per adempiere ad obblighi derivanti da contratti di
assicurazione finalizzati alla copertura dei rischi connessi alla
responsabilita' del datore di lavoro in materia di salute e sicurezza
del lavoro e di malattie professionali o per i danni cagionati a
terzi nell'esercizio dell'attivita' lavorativa o professionale;
f) per garantire le pari opportunita' nel lavoro;
g) per perseguire scopi determinati e legittimi individuati
dagli statuti di associazioni, organizzazioni, federazioni o
confederazioni rappresentative di categorie di datori di lavoro o dai
contratti collettivi, in materia di assistenza sindacale ai datori di
lavoro.
1.4 Prescrizioni specifiche relative alle diverse categorie di dati.
1.4.1 Trattamenti effettuati nella fase preliminare alle assunzioni.
a) le agenzie per il lavoro e agli altri soggetti che, in
conformita' alla legge, svolgono, nell'interesse proprio o di terzi,
attivita' di intermediazione, ricerca e selezione del personale o
supporto alla ricollocazione professionale possono trattare i dati
idonei a rivelare lo stato di salute e l'origine razziale ed etnica
dei candidati all'instaurazione di un rapporto di lavoro o di
collaborazione, solo se la loro raccolta sia giustificata da scopi
determinati e legittimi e sia necessaria per instaurare tale
rapporto;
b) il trattamento effettuato ai fini dell'instaurazione del
rapporto di lavoro, sia attraverso questionari inviati anche per via
telematica sulla base di modelli predefiniti, sia nel caso in cui i
candidati forniscano dati di propria iniziativa, in particolare
attraverso l'invio di curricula, deve riguardare, nei limiti
stabiliti dalle disposizioni richiamate dall'art. 113 del codice, le
sole informazioni strettamente pertinenti e limitate a quanto
necessario a tali finalita', anche tenuto conto delle particolari
mansioni e/o delle specificita' dei profili professionali richiesti;
c) qualora nei curricula inviati dai candidati siano presenti
dati non pertinenti rispetto alla finalita' perseguita i soggetti di
cui alla lettera a) o i datori di lavoro che effettuano la selezione
devono astenersi dall'utilizzare tali informazioni;
d) i dati genetici non possono essere trattati al fine di
stabilire l'idoneita' professionale di un candidato all'impiego,
neppure con il consenso dell'interessato.
1.4.2 Trattamenti effettuati nel corso del rapporto di lavoro.
a) il datore di lavoro tratta dati che rivelano le convinzioni
religiose o filosofiche ovvero l'adesione ad associazioni od
organizzazioni a carattere religioso o filosofico esclusivamente in
caso di fruizione di permessi in occasione di festivita' religiose o
per le modalita' di erogazione dei servizi di mensa o, nei casi
previsti dalla legge, per l'esercizio dell'obiezione di coscienza;
b) il datore di lavoro tratta dati che rivelano le opinioni
politiche o l'appartenenza sindacale, o l'esercizio di funzioni
pubbliche e incarichi politici, di attivita' o di incarichi sindacali
esclusivamente ai fini della fruizione di permessi o di periodi di
aspettativa riconosciuti dalla legge o, eventualmente, dai contratti
collettivi anche aziendali nonche' per consentire l'esercizio dei
diritti sindacali compreso il trattamento dei dati inerenti alle
trattenute per il versamento delle quote di iscrizione ad
associazioni od organizzazioni sindacali;
c) il datore di lavoro in caso di partecipazione di dipendenti
ad operazioni elettorali in qualita' di rappresentanti di lista, in
applicazione del principio di necessita', non deve trattare
nell'ambito della documentazione da presentare al fine del
riconoscimento di benefici di legge, dati che rivelino le opinioni
politiche (ad esempio, non deve essere richiesto il documento che
designa il rappresentate di lista essendo allo scopo sufficiente la
certificazione del presidente di seggio);
d) il datore di lavoro non puo' trattare dati genetici al fine
di stabilire l'idoneita' professionale di un dipendente, neppure con
il consenso dell'interessato.
1.5 Prescrizioni specifiche relative alle modalita' di trattamento.
Con riferimento alle modalita' di trattamento, si rappresenta
quanto segue:
a) i dati devono essere raccolti, di regola, presso
l'interessato;
b) in tutte le comunicazioni all'interessato che contengono
categorie particolari di dati devono essere utilizzate forme di
comunicazione anche elettroniche individualizzate nei confronti di
quest'ultimo o di un suo delegato, anche per il tramite di personale
autorizzato. Nel caso in cui si proceda alla trasmissione del
documento cartaceo, questo dovra' essere trasmesso, di regola, in
plico chiuso, salva la necessita' di acquisire, anche mediante la
sottoscrizione per ricevuta, la prova della ricezione dell'atto;
c) i documenti che contengono categorie particolari di dati,
ove debbano essere trasmessi ad altri uffici o funzioni della
medesima struttura organizzativa in ragione delle rispettive
competenze, devono contenere esclusivamente le informazioni
necessarie allo svolgimento della funzione senza allegare, ove non
strettamente indispensabile, documentazione integrale o riportare
stralci all'interno del testo. A tal fine dovranno essere selezionate
e impiegate modalita' di trasmissione della documentazione che ne
garantiscano la ricezione e il relativo trattamento da parte dei soli
uffici o strutture organizzative competenti e del solo personale
autorizzato;
d) quando per ragioni di organizzazione del lavoro, e
nell'ambito della predisposizione di turni di servizio, si proceda a
mettere a disposizione a soggetti diversi dall'interessato (ad
esempio, altri colleghi) dati relativi a presenze ed assenze dal
servizio, il datore di lavoro non deve esplicitare, nemmeno
attraverso acronimi o sigle, le causali dell'assenza dalle quali sia
possibile evincere la conoscibilita' di particolari categorie di dati
personali (es. permessi sindacali o dati sanitari).
2. Prescrizioni relative al trattamento di categorie particolari di
dati da parte degli organismi di tipo associativo, delle
fondazioni, delle chiese e associazioni o comunita' religiose (aut.
gen. n. 3/2016).
2.1 Ambito di applicazione.
Le prescrizioni di seguito indicate si applicano:
a) alle associazioni anche non riconosciute, ai partiti e ai
movimenti politici, alle associazioni e alle organizzazioni
sindacali, ai patronati e alle associazioni di categoria, alle casse
di previdenza, alle organizzazioni assistenziali o di volontariato e,
piu' in generale, del terzo settore, nonche' alle federazioni e
confederazioni nelle quali tali soggetti sono riuniti in conformita',
ove esistenti, allo statuto, all'atto costitutivo o ad un contratto
collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio
od organismo senza scopo di lucro, dotati o meno di personalita'
giuridica, ivi comprese le organizzazioni non lucrative di utilita'
sociale (Onlus);
c) alle cooperative sociali e alle societa' di mutuo soccorso
di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15
aprile 1886, n. 3818;
d) agli istituti scolastici, limitatamente al trattamento dei
dati che rivelino le convinzioni religiose e per le operazioni
strettamente necessarie per l'applicazione degli articoli 310 e 311
del decreto legislativo 16 aprile 1994, n. 297, e degli articoli 3 e
10 del decreto legislativo 19 febbraio 2004, n. 59;
e) alle chiese, associazioni o comunita' religiose.
2.2 Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i dati particolari attinenti:
a) agli associati, ai soci e, se strettamente indispensabile
per il perseguimento delle finalita' perseguite, ai relativi
familiari e conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonche' ai
soggetti che presentano richiesta di ammissione o di adesione o che
hanno contatti regolari con enti e organizzazioni di tipo
associativo, fondazioni, chiese e associazioni o comunita' religiose;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attivita'
o dei servizi prestati dall'associazione o da enti e organizzazioni
di tipo associativo, fondazioni, chiese e associazioni o comunita'
religiose, limitatamente ai soggetti individuabili in base allo
statuto o all'atto costitutivo, ove esistenti, o comunque a coloro
nell'interesse dei quali i soggetti menzionati al punto 2.1 possono
operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di
iscrizione agli istituti di cui al punto 2.1, lettera d) e, qualora
si tratti di minori, ai loro genitori o a chi ne esercita la
potesta';
f) ai lavoratori dipendenti degli associati e dei soci,
limitatamente ai dati idonei a rivelare l'adesione a sindacati,
associazioni od organizzazioni a carattere sindacale e alle
operazioni necessarie per adempiere a specifici obblighi derivanti da
contratti collettivi anche aziendali.
2.3 Finalita' del trattamento.
Il trattamento dei dati particolari puo' essere effettuato per il
perseguimento di scopi determinati e legittimi individuati dalla
legge, dall'atto costitutivo, dallo statuto o dal contratto
collettivo, ove esistenti, e in particolare per il perseguimento di
finalita' culturali, religiose, politiche, sindacali, sportive o
agonistiche di tipo non professionistico, di istruzione anche con
riguardo alla liberta' di scelta dell'insegnamento religioso, di
formazione, di patrocinio, di tutela dell'ambiente e delle opere
d'interesse artistico e storico, di salvaguardia dei diritti civili,
di beneficenza, assistenza sociale o socio-sanitaria.
Il trattamento dei predetti dati puo' avere luogo, altresi', per
far valere o difendere un diritto anche da parte di un terzo in sede
giudiziaria, nonche' in sede amministrativa o nelle procedure di
arbitrato e di conciliazione nei casi previsti dalla normativa
eurounitaria, dalle leggi, dai regolamenti o dai contratti
collettivi.
Il medesimo trattamento puo' inoltre essere effettuato per
l'esercizio del diritto di accesso ai dati e ai documenti
amministrativi, nei limiti di quanto stabilito dalle leggi e dai
regolamenti in materia, salvo quanto previsto dall'art. 60 del
codice, come novellato dal decreto legislativo n. 101/2018.
Per i fini predetti, il trattamento dei dati di cui sopra puo'
riguardare anche la tenuta di registri e scritture contabili, di
elenchi, di indirizzari e di altri documenti necessari per la
gestione amministrativa di enti e organizzazioni di tipo associativo,
fondazioni, chiese e associazioni o comunita' religiose nonche' per
l'adempimento di obblighi fiscali ovvero per la diffusione di
riviste, bollettini e simili.
Qualora i soggetti indicati al punto 2.1 si avvalgano di persone
giuridiche o di altri organismi con scopo di lucro o di liberi
professionisti per perseguire le predette finalita', ovvero
richiedano ad essi la fornitura di beni, prestazioni o servizi, gli
stessi possono effettuare il trattamento dei dati in questione.
I soggetti di cui al predetto punto 2.1 possono comunicare alle
persone giuridiche e agli organismi con scopo di lucro sopra indicati
(qualora questi ultimi si configurino quali titolari di un autonomo
trattamento) i soli dati particolari strettamente indispensabili per
le attivita' di effettivo ausilio alle predette finalita', con
particolare riferimento alle generalita' degli interessati e a
indirizzari, sulla base di un atto scritto che individui con
precisione le informazioni comunicate, le modalita' del successivo
utilizzo e le particolari misure di sicurezza adottate. L'informativa
da rendere agli interessati deve porre tale circostanza in
particolare evidenza e deve recare la precisa menzione dei titolari
del trattamento e delle finalita' da essi perseguite. Le persone
giuridiche e gli organismi con scopo di lucro possono trattare i dati
cosi' acquisiti solo per scopi di ausilio alle finalita' predette,
ovvero per scopi amministrativi e contabili.
2.4 Prescrizioni specifiche.
I dati personali riferiti agli associati/aderenti possono essere
comunicati agli altri associati/aderenti anche in assenza del
consenso degli interessati, a condizione che la predetta
comunicazione sia prevista - nell'ambito dell'autonomia privata
rimessa a ciascun ente - dall'atto costitutivo o dallo statuto per il
perseguimento di scopi determinati e legittimi e che le modalita' di
utilizzo dei dati siano rese note agli interessati in sede di
rilascio dell'informativa ai sensi dell'art. 13 del regolamento (UE)
2016/679.
In ogni caso, tenendo conto del rispetto dei principi di
necessita', finalita' e minimizzazione e dell'eventuale
regolamentazione interna all'ente, laddove vengano in considerazione
profili esclusivamente personali riferiti agli associati/aderenti,
devono essere utilizzate forme di consultazione individualizzata con
gli stessi, adottando ogni misura opportuna volta a prevenire
un'indebita comunicazione di dati personali a soggetti diversi dal
destinatario.
La comunicazione dei dati personali relativi agli
associati/aderenti all'esterno dell'ente e la loro diffusione possono
essere effettuate con il consenso degli interessati, previa
informativa agli stessi in ordine alla tipologia di destinatari e
alle finalita' della trasmissione e purche' i dati siano strettamente
pertinenti alle finalita' ed agli scopi perseguiti.
I dati particolari possono essere comunicati alle autorita'
competenti per finalita' di prevenzione, accertamento o repressione
dei reati, con l'osservanza delle norme che regolano la materia.
3. Prescrizioni relative al trattamento di categorie particolari di
dati da parte degli investigatori privati (aut. gen. n. 6/2016).
3.1 Ambito di applicazione.
Le presenti prescrizioni sono dirette alle persone fisiche e
giuridiche, agli istituti, agli enti, alle associazioni e agli
organismi che esercitano un'attivita' di investigazione privata
autorizzata con licenza prefettizia (art. 134 del regio decreto 18
giugno 1931, n. 773, e successive modificazioni e integrazioni).
3.2 Finalita' del trattamento.
Il trattamento delle categorie particolari di dati personali di
cui all'art. 9, paragrafo 1, del regolamento (UE) 2016/679 puo'
essere effettuato unicamente per l'espletamento dell'incarico
ricevuto dai soggetti di cui al punto 3.1 e in particolare:
a) per permettere a chi conferisce uno specifico incarico, di
fare accertare, esercitare o difendere un proprio diritto in sede
giudiziaria che, quando concerne dati genetici, relativi alla salute,
alla vita sessuale o all'orientamento sessuale della persona, deve
essere di rango pari a quello del soggetto al quale si riferiscono i
dati, ovvero consistere in un diritto della personalita' o in un
altro diritto o liberta' fondamentale;
b) su incarico di un difensore in riferimento ad un
procedimento penale, per ricercare e individuare elementi a favore
del relativo assistito da utilizzare ai soli fini dell'esercizio del
diritto alla prova (art. 190 del codice di procedura penale e legge 7
dicembre 2000, n. 397).
3.3 Prescrizioni specifiche.
Gli investigatori privati non possono intraprendere di propria
iniziativa investigazioni, ricerche o altre forme di raccolta di
dati. Tali attivita' possono essere eseguite esclusivamente sulla
base di un apposito incarico conferito per iscritto, anche da un
difensore, per le esclusive finalita' di cui al punto 3.2.
L'atto di incarico deve menzionare in maniera specifica il
diritto che si intende esercitare in sede giudiziaria, ovvero il
procedimento penale al quale l'investigazione e' collegata, nonche' i
principali elementi di fatto che giustificano l'investigazione e il
termine ragionevole entro cui questa deve essere conclusa.
Deve essere fornita all'interessato l'informativa di cui agli
articoli 13 e 14 del regolamento (UE) 2016/679, salvo, nel caso in
cui i dati personali non siano stati ottenuti presso l'interessato,
che questa rischi di rendere impossibile o di pregiudicare gravemente
il conseguimento delle finalita' di tale trattamento.
Il difensore o il soggetto che ha conferito l'incarico devono
essere informati periodicamente dell'andamento dell'investigazione.
L'investigatore privato deve eseguire personalmente l'incarico
ricevuto e non puo' avvalersi di altri investigatori non indicati
nominativamente all'atto del conferimento dell'incarico, oppure
successivamente in calce a esso qualora tale possibilita' sia stata
prevista nell'atto di incarico.
Una volta conclusa la specifica attivita' investigativa, il
trattamento deve cessare in ogni sua forma, fatta eccezione per
l'immediata comunicazione al difensore o al soggetto che ha conferito
l'incarico i quali possono consentire, anche in sede di mandato,
l'eventuale conservazione temporanea di materiale strettamente
personale dei soggetti che hanno curato l'attivita' svolta, ai soli
fini dell'eventuale dimostrazione della liceita' e correttezza del
proprio operato. Se e' stato contestato il trattamento il difensore o
il soggetto che ha conferito l'incarico possono anche fornire
all'investigatore il materiale necessario per dimostrare la liceita'
e correttezza del proprio operato, per il tempo a cio' strettamente
necessario.
La sola pendenza del procedimento al quale l'investigazione e'
collegata, ovvero il passaggio ad altre fasi di giudizio in attesa
della formazione del giudicato, non costituiscono, di per se' stessi,
una giustificazione valida per la conservazione dei dati da parte
dell'investigatore privato.
I dati possono essere comunicati unicamente al soggetto che ha
conferito l'incarico.
I dati possono essere comunicati ad un altro investigatore
privato solo se questi sia stato indicato nominativamente nell'atto
del conferimento dell'incarico, oppure successivamente in calce a
esso qualora tale possibilita' sia stata prevista nell'atto di
incarico, e la comunicazione sia necessaria per lo svolgimento dei
compiti affidati.
I dati genetici, biometrici e relativi alla salute possono essere
comunicati alle autorita' competenti solo per finalita' di
prevenzione, accertamento o repressione dei reati, con l'osservanza
delle norme che regolano la materia.
Fermo restando quanto previsto dall'art. 2-septies, comma 8, del
codice, i dati relativi alla vita sessuale o all'orientamento
sessuale non possono essere diffusi.
Resta fermo, per quanto riguarda il trattamento dei dati
genetici, quanto previsto dalle relative prescrizioni.
4. Prescrizioni relative al trattamento dei dati genetici (aut. gen.
n. 8/2016).
4.1 Definizioni.
Ai fini del presente provvedimento si intende per:
a) dati genetici, i dati personali relativi alle
caratteristiche genetiche ereditarie o acquisite di una persona
fisica che forniscono informazioni univoche sulla fisiologia o sulla
salute di detta persona fisica, e che risultano in particolare
dall'analisi di un campione biologico della persona fisica in
questione;
b) campione biologico, ogni campione di materiale biologico da
cui possono essere estratti dati genetici caratteristici di un
individuo;
c) test genetico, l'analisi a scopo clinico di uno specifico
gene o del suo prodotto o funzione o di altre parti del DNA o di un
cromosoma, volta a effettuare una diagnosi o a confermare un sospetto
clinico in un individuo affetto (test diagnostico), oppure a
individuare o escludere la presenza di una mutazione associata ad una
malattia genetica che possa svilupparsi in un individuo non affetto
(test presintomatico) o, ancora, a valutare la maggiore o minore
suscettibilita' di un individuo a sviluppare malattie multifattoriali
(test predittivo o di suscettibilita');
d) test farmacogenetico, il test genetico finalizzato
all'identificazione di specifiche variazioni nella sequenza del DNA
in grado di predire la risposta «individuale» a farmaci in termini di
efficacia e di rischio relativo di eventi avversi;
e) test farmacogenomico, il test genetico finalizzato allo
studio globale delle variazioni del genoma o dei suoi prodotti
correlate alla scoperta di nuovi farmaci e all'ulteriore
caratterizzazione dei farmaci autorizzati al commercio;
f) test sulla variabilita' individuale, i test genetici che
comprendono: il test di parentela volto alla definizione dei rapporti
di parentela; il test ancestrale volto a stabilire i rapporti di una
persona nei confronti di un antenato o di una determinata popolazione
o quanto del suo genoma sia stato ereditato dagli antenati
appartenenti a una particolare area geografica o gruppo etnico; il
test di identificazione genetica volto a determinare la probabilita'
con la quale un campione o una traccia di DNA recuperato da un
oggetto o altro materiale appartenga a una determinata persona;
g) screening genetico, il test genetico effettuato su
popolazioni o su gruppi definiti, comprese le analisi familiari
finalizzate a identificare - mediante «screening a cascata» - le
persone potenzialmente a rischio di sviluppare la malattia genetica,
al fine di delinearne le caratteristiche genetiche comuni o di
identificare precocemente soggetti affetti o portatori di patologie
genetiche o di altre caratteristiche ereditarie;
h) consulenza genetica, le attivita' di comunicazione volte ad
aiutare l'individuo o la famiglia colpita da patologia genetica a
comprendere le informazioni mediche che includono la diagnosi e il
probabile decorso della malattia, le forme di assistenza disponibili,
il contributo dell'ereditarieta' al verificarsi della malattia, il
rischio di ricorrenza esistente per se' e per altri familiari e
l'opportunita' di portarne a conoscenza questi ultimi, nonche' tutte
le opzioni esistenti nell'affrontare il rischio di malattia e
l'impatto che tale rischio puo' avere su scelte procreative;
nell'esecuzione di test genetici tale consulenza comprende inoltre
informazioni sul significato, i limiti, l'attendibilita' e la
specificita' del test nonche' le implicazioni dei risultati; a tale
processo partecipano, oltre al medico e/o al biologo specialisti in
genetica medica, altre figure professionali competenti nella gestione
delle problematiche psicologiche e sociali connesse alla genetica;
i) informazione genetica, le attivita' volte a fornire
informazioni riguardanti le specifiche caratteristiche degli
screening genetici.
4.2 Prescrizioni specifiche.
Per la custodia e la sicurezza dei dati genetici e dei campioni
biologici sono adottate, in ogni caso, le seguenti cautele:
a) l'accesso ai locali deve avvenire secondo una documentata
procedura prestabilita dal titolare del trattamento, che preveda
l'identificazione delle persone, preventivamente autorizzate, che
accedono a qualunque titolo dopo l'orario di chiusura. Tali controlli
possono essere effettuati anche con strumenti elettronici. E' ammesso
l'utilizzo dei dati biometrici con riguardo alle richiamate procedure
di accesso fisico, nel rispetto dei principi in materia di protezione
dei dati personali e dei requisiti specifici del trattamento di cui
all'art. 9 del regolamento;
b) la conservazione, l'utilizzo e il trasporto dei campioni
biologici sono posti in essere con modalita' volte anche a garantirne
la qualita', l'integrita', la disponibilita' e la tracciabilita';
c) il trasferimento dei dati genetici, con sistemi di
messaggistica elettronica ivi compresa la posta, e' effettuato con le
seguenti cautele: trasmissione dei dati in forma di allegato e non
come testo compreso nel corpo del messaggio; cifratura dei dati
avendo cura di rendere nota al destinatario la chiave crittografica
tramite canali di comunicazione differenti da quelli utilizzati per
la trasmissione dei dati; ricorso a canali di comunicazione protetti,
tenendo conto dello stato dell'arte della tecnologia utilizzata;
protezione dell'allegato con modalita' idonee a impedire l'illecita o
fortuita acquisizione dei dati trasmessi, come una password per
l´apertura del file resa nota al destinatario tramite canali di
comunicazione differenti da quelli utilizzati per la trasmissione dei
dati. E' ammesso il ricorso a canali di comunicazione di tipo «web
application» che prevedano l'utilizzo di canali di trasmissione
protetti, tenendo conto dello stato dell'arte della tecnologia, e
garantiscano, previa verifica, l'identita' digitale del server che
eroga il servizio e della postazione client da cui si effettua
l'accesso ai dati, ricorrendo a certificati digitali emessi in
conformita' alla legge da un'autorita' di certificazione;
d) la consultazione dei dati genetici trattati con strumenti
elettronici e' consentita previa adozione di sistemi di
autenticazione basati sull'uso combinato di informazioni note ai
soggetti all'uopo designati e di dispositivi, anche biometrici, in
loro possesso;
e) i dati genetici e i campioni biologici contenuti in elenchi,
registri o banche di dati, sono trattati con tecniche di cifratura o
di pseudonimizzazione o di altre soluzioni che, considerato il volume
dei dati e dei campioni trattati, li rendano temporaneamente
inintelligibili anche a chi e' autorizzato ad accedervi e permettano
di identificare gli interessati solo in caso di necessita', in modo
da ridurre al minimo i rischi di conoscenza accidentale e di accesso
abusivo o non autorizzato. Laddove gli elenchi, i registri o le
banche di dati siano tenuti con strumenti elettronici e contengano
anche dati riguardanti la genealogia o lo stato di salute degli
interessati, le predette tecniche devono consentire, altresi', il
trattamento disgiunto dei dati genetici e relativi alla salute dagli
altri dati personali che permettono di identificare direttamente le
persone interessate.
4.3 Informazioni agli interessati.
Le informazioni da rendere agli interessati ai sensi degli
articoli 13 e 14 del regolamento (UE) 2016/679 e anche ai sensi degli
articoli 77 e 78 del codice per il medico di medicina generale e per
il pediatra di libera scelta, evidenziano, altresi':
a) i risultati conseguibili anche in relazione alle notizie
inattese che possono essere conosciute per effetto del trattamento
dei dati genetici;
b) la facolta' o meno, per l'interessato, di limitare l'ambito
di comunicazione dei dati genetici e il trasferimento dei campioni
biologici, nonche' l'eventuale utilizzo di tali dati per ulteriori
scopi.
Dopo il raggiungimento della maggiore eta', le informazioni sul
trattamento di dati personali sono fornite all'interessato anche ai
fini dell'acquisizione di una nuova manifestazione del consenso (con.
38, 58, e articoli 5 e 8 del regolamento (UE) 2016/679 e art. 82,
comma 4, del codice).
4.4 Consulenza genetica e attivita' di informazione.
In relazione ai trattamenti effettuati mediante test genetici per
finalita' di tutela della salute o di ricongiungimento familiare e'
fornita all'interessato una consulenza genetica prima e dopo lo
svolgimento dell'analisi. Prima dell'introduzione di screening
genetici finalizzati alla tutela della salute da parte di organismi
sanitari sono adottate idonee misure per garantire un'attivita' di
informazione al pubblico in merito alla disponibilita' e alla
volontarieta' dei test effettuati, alle specifiche finalita' e
conseguenze, anche nell'ambito di pubblicazioni istituzionali e
mediante reti di comunicazione elettronica.
Il consulente genetista aiuta i soggetti interessati a prendere
in piena autonomia le decisioni ritenute piu' adeguate, tenuto conto
del rischio genetico, delle aspirazioni familiari e dei loro principi
etico-religiosi, aiutandoli ad agire coerentemente con le scelte
compiute, nonche' a realizzare il miglior adattamento possibile alla
malattia e/o al rischio di ricorrenza della malattia stessa.
Nei casi in cui il test sulla variabilita' individuale e' volto
ad accertare la paternita' o la maternita' gli interessati sono,
altresi', informati circa la normativa in materia di filiazione,
ponendo in evidenza le eventuali conseguenze psicologiche e sociali
dell'esame.
L'attuazione di ricerche scientifiche su isolati di popolazione
e' preceduta da un'attivita' di informazione presso le comunita'
interessate, anche mediante adeguati mezzi di comunicazione e
presentazioni pubbliche, volta ad illustrare la natura della ricerca,
le finalita' perseguite, le modalita' di attuazione, le fonti di
finanziamento e i rischi o benefici attesi per le popolazioni
coinvolte. L'attivita' di informazione evidenzia anche gli eventuali
rischi di discriminazione o stigmatizzazione delle comunita'
interessate, nonche' quelli inerenti alla conoscibilita' di inattesi
rapporti di consanguineita' e le azioni intraprese per ridurre al
minimo tali rischi.
4.5 Consenso.
Il consenso al trattamento dei dati genetici e' necessario per:
1. finalita' di tutela della salute di un soggetto terzo
secondo quanto previsto al successivo punto 4.7;
2. lo svolgimento di test genetici nell'ambito delle
investigazioni difensive o per l'esercizio di un diritto in sede
giudiziaria, salvo che un'espressa disposizione di legge, o un
provvedimento dell'autorita' giudiziaria in conformita' alla legge,
disponga altrimenti (cfr. infra punto 4.9);
3. i trattamenti effettuati mediante test genetici, compreso lo
screening, a fini di ricerca o di ricongiungimento familiare. In
questi casi, all'interessato e' richiesto di dichiarare se vuole
conoscere o meno i risultati dell'esame o della ricerca, comprese
eventuali notizie inattese che lo riguardano, qualora queste ultime
rappresentino per l'interessato un beneficio concreto e diretto in
termini di terapia o di prevenzione o di consapevolezza delle scelte
riproduttive (cfr. infra punto 4.10);
4. finalita' di ricerca scientifica e statistica non previste
dalla legge o da altro requisito specifico di cui all'art. 9 del
regolamento (cfr. infra punto 4.11).
4.5.1 Modalita' di raccolta e revoca del consenso.
Per le informazioni relative ai nascituri il consenso e'
validamente prestato dalla gestante. Nel caso in cui il trattamento
effettuato mediante test prenatale possa rivelare anche dati genetici
relativi alla futura insorgenza di una patologia del padre, e'
previamente acquisito anche il consenso di quest'ultimo.
L'opinione del minore, nella misura in cui lo consente la sua
eta' e il suo grado di maturita', e', ove possibile, presa in
considerazione, restando preminente in ogni caso l'interesse del
minore. Negli altri casi di incapacita', il trattamento e' consentito
se le finalita' perseguite comportano un beneficio diretto per
l'interessato e la sua opinione e', ove possibile, presa in
considerazione, restando preminente in ogni caso l'interesse
dell'incapace.
In caso di revoca del consenso da parte dell'interessato, i
trattamenti devono cessare e i dati devono essere cancellati o resi
anonimi anche attraverso la distruzione del campione biologico
prelevato.
4.6 Comunicazione e diffusione dei dati.
Ferme restando le norme generali che disciplinano la
comunicazione e la diffusione delle particolari categorie di dati,
ivi compresi i dati genetici, tali operazioni di trattamento possono
essere svolte nel rispetto delle seguenti prescrizioni (art. 9 del
regolamento UE 2016/679 e art. 2-sexies del codice).
Fatta eccezione per i dati personali forniti in precedenza dal
medesimo interessato, i dati genetici devono essere resi noti
all'interessato o ai soggetti di cui all'art. 82, comma 2, lettera
a), del codice da parte di esercenti le professioni sanitarie ed
organismi sanitari solo per il tramite di un medico designato
dall'interessato o dal titolare.
Il titolare o il responsabile del trattamento possono autorizzare
per iscritto gli esercenti le professioni sanitarie diversi dai
medici, che nell'esercizio dei propri compiti intrattengono rapporti
diretti con i pazienti e sono designati a trattare dati genetici o
campioni biologici, a rendere noti i medesimi dati all'interessato o
ai soggetti di cui all'art. 82, comma 2, lettera a), del codice.
Nelle istruzioni alle persone autorizzate al trattamento dei dati
sono individuate appropriate modalita' e cautele rapportate al
contesto nel quale e' effettuato il trattamento di dati.
I dati genetici devono essere resi noti, di regola, direttamente
all'interessato o a persone diverse dal diretto interessato solo
sulla base di una delega scritta di quest'ultimo, adottando ogni
mezzo idoneo a prevenire la conoscenza non autorizzata da parte di
soggetti anche compresenti. La comunicazione nelle mani di un
delegato dell'interessato e' eseguita in plico chiuso.
Gli esiti di test e di screening genetici, nonche' i risultati
delle ricerche qualora comportino per l'interessato un beneficio
concreto e diretto in termini di terapia, prevenzione o di
consapevolezza delle scelte riproduttive, devono essere comunicati al
medesimo interessato anche nel rispetto della sua dichiarazione di
volonta' di conoscere o meno tali eventi e, ove necessario,
unitamente a un'appropriata consulenza genetica.
Gli esiti di test e di screening genetici, nonche' i risultati
delle ricerche, qualora comportino un beneficio concreto e diretto in
termini di terapia, prevenzione o di consapevolezza delle scelte
riproduttive, anche per gli appartenenti alla stessa linea genetica
dell'interessato, possono essere comunicati a questi ultimi, su loro
richiesta, qualora l'interessato vi abbia espressamente acconsentito
oppure qualora tali risultati siano indispensabili per evitare un
pregiudizio per la loro salute, ivi compreso il rischio riproduttivo,
e il consenso dell'interessato non sia prestato o non possa essere
prestato per effettiva irreperibilita'.
In caso di ricerche condotte su gruppi di popolazione o
popolazioni isolate, devono essere resi noti alle comunita'
interessate e alle autorita' locali gli eventuali risultati della
ricerca che rivestono un'importanza terapeutica o preventiva per la
tutela della salute delle persone appartenenti a tali comunita'.
4.7 Tutela della salute di un soggetto terzo.
Ferme restando le specifiche condizioni in ambito sanitario
previste dall'art. 75 del codice, il trattamento di dati genetici per
finalita' di tutela della salute di un soggetto terzo puo' essere
effettuato se questi appartiene alla medesima linea genetica
dell'interessato e con il consenso di quest'ultimo.
Nel caso in cui il consenso dell'interessato non sia prestato o
non possa essere prestato per impossibilita' fisica, per incapacita'
di agire o per incapacita' d'intendere o di volere, nonche' per
effettiva irreperibilita', il trattamento puo' essere effettuato
limitatamente ai dati genetici disponibili qualora sia indispensabile
per consentire al terzo di compiere una scelta riproduttiva
consapevole o sia giustificato dalla necessita', per il terzo, di
interventi di natura preventiva o terapeutica. Nel caso in cui
l'interessato sia deceduto, il trattamento puo' comprendere anche
dati genetici estrapolati dall'analisi dei campioni biologici della
persona deceduta, sempre che sia indispensabile per consentire al
terzo di compiere una scelta riproduttiva consapevole o sia
giustificato dalla necessita', per il terzo, di interventi di natura
preventiva o terapeutica (cons. 27 del regolamento UE 2016/679).
4.8 Test presintomatici.
Il trattamento di dati genetici e l'utilizzo di campioni
biologici per l'esecuzione di test presintomatici e di
suscettibilita' possono essere effettuati esclusivamente per il
perseguimento di finalita' di tutela della salute, anche per compiere
scelte riproduttive consapevoli e per scopi di ricerca finalizzata
alla tutela della salute.
I trattamenti di dati connessi all'esecuzione di test genetici
presintomatici possono essere effettuati sui minori non affetti, ma a
rischio per patologie genetiche solo nel caso in cui esistano
concrete possibilita' di terapie o di trattamenti preventivi da
applicare prima del raggiungimento della maggiore eta'. I test sulla
variabilita' individuale non possono essere condotti su minori senza
che venga acquisito il consenso di ambedue i genitori, ove esercitano
entrambi la potesta' sul minore.
4.9 Trattamento di dati genetici per lo svolgimento di investigazioni
difensive ai sensi della legge 7 dicembre 2000, n. 397.
Il trattamento di dati genetici finalizzato allo svolgimento di
investigazioni difensive ai sensi della legge 7 dicembre 2000, n.
397, anche a mezzo di sostituti, di consulenti tecnici e
investigatori privati autorizzati, o, comunque, a far valere o
difendere un diritto anche da parte di un terzo in sede giudiziaria,
deve essere effettuato con il consenso dell'interessato solo nel caso
in cui presupponga lo svolgimento di test genetici.
Il consenso informato e' richiesto alla persona cui appartiene il
materiale biologico necessario all'indagine, salvo che un'espressa
disposizione di legge, o un provvedimento dell'autorita' giudiziaria
in conformita' alla legge, disponga altrimenti.
Cio', sempre che il diritto da far valere o difendere sia di
rango pari a quello dell'interessato, ovvero consistente in un
diritto della personalita' o in un altro diritto o liberta'
fondamentale e inviolabile e i dati siano trattati esclusivamente per
tali finalita' e per il periodo strettamente necessario al loro
perseguimento (art. 60 del codice).
4.10 Trattamento di dati genetici per finalita' di ricongiungimento
familiare e vincoli di consanguineita'.
Gli organismi internazionali ritenuti idonei dal Ministero degli
affari esteri e della cooperazione internazionale e le rappresentanze
diplomatiche o consolari ai fini del rilascio delle certificazioni
(allo stato disciplinate dall´art. 52 del decreto legislativo 3
febbraio 2011, n. 71) possono trattare dati genetici per consentire
il ricongiungimento familiare limitatamente ai casi in cui
l'interessato non possa documentare in modo certo i suoi vincoli di
consanguineita' mediante certificati o attestazioni rilasciati da
competenti autorita' straniere, in ragione della mancanza di
un'autorita' riconosciuta o comunque quando sussistano fondati dubbi
sulla autenticita' della predetta documentazione (cfr. anche decreto
legislativo 25 luglio 1998, n. 286).
In ipotesi di realizzazione di test o screening genetici per
finalita' di ricongiungimento familiare e' necessario acquisire il
consenso degli interessati; agli interessati e' richiesto di
dichiarare se vogliono conoscere o meno i risultati dell'esame,
comprese eventuali notizie inattese che li riguardano, qualora queste
ultime rappresentino per gli interessati un beneficio concreto e
diretto in termini di terapia o di prevenzione o di consapevolezza
delle scelte riproduttive.
I dati genetici raccolti a fini di ricongiungimento familiare
possono essere comunicati unicamente alle rappresentanze diplomatiche
o consolari competenti all'esame della documentazione prodotta
dall'interessato o all'organismo internazionale ritenuto idoneo dal
Ministero degli affari esteri e della cooperazione internazionale cui
l'interessato si sia rivolto. I campioni biologici prelevati ai
medesimi fini possono essere trasferiti unicamente al laboratorio
designato per l'effettuazione del test sulla variabilita' individuale
o all'organismo internazionale ritenuto idoneo dal Ministero degli
affari esteri e della cooperazione internazionale.
4.11 Trattamento di dati genetici per finalita' di ricerca
scientifica e statistica.
Il trattamento di dati genetici e campioni biologici per
finalita' di ricerca scientifica e statistica, e' consentito solo se
volto alla tutela della salute dell'interessato, di terzi o della
collettivita' in campo medico, biomedico ed epidemiologico, anche
nell'ambito della sperimentazione clinica o ricerca scientifica volta
a sviluppare le tecniche di analisi genetica.
Il trattamento deve essere svolto sulla base di un progetto
redatto conformemente agli standard del pertinente settore
disciplinare, anche al fine di documentare che il trattamento dei
dati e l'utilizzo dei campioni biologici sia effettuato per idonei ed
effettivi scopi scientifici.
Il progetto specifica le misure da adottare nel trattamento dei
dati personali per garantire il rispetto del presente provvedimento,
nonche' della normativa sulla protezione dei dati personali, anche
per i profili riguardanti la custodia e la sicurezza dei dati e dei
campioni biologici, e individua gli eventuali responsabili del
trattamento (art. 28 del regolamento UE 2016/679). In particolare,
laddove la ricerca preveda il prelievo e/o l'utilizzo di campioni
biologici, il progetto indica l'origine, la natura e le modalita' di
prelievo e di conservazione dei campioni, nonche' le misure adottate
per garantire la volontarieta' del conferimento del materiale
biologico da parte dell'interessato.
Il progetto e' conservato in forma riservata (essendo la
consultazione del progetto possibile ai soli fini dell'applicazione
della normativa in materia di protezione dei dati personali) per
cinque anni dalla conclusione programmata della ricerca.
Quando le finalita' della ricerca possono essere realizzate
soltanto tramite l'identificazione anche temporanea degli
interessati, il titolare del trattamento adotta specifiche misure per
mantenere separati i dati identificativi dai campioni biologici e
dalle informazioni genetiche gia' al momento della raccolta, salvo
che cio' risulti impossibile in ragione delle particolari
caratteristiche del trattamento o richieda un impiego di mezzi
manifestamente sproporzionato.
4.11.1 Informazioni agli interessati.
In relazione ai trattamenti effettuati per scopi di ricerca
scientifica e statistica, nelle informazioni fornite agli interessati
si evidenziano, altresi':
a) gli accorgimenti adottati per consentire l'identificazione
degli interessati soltanto per il tempo necessario agli scopi della
raccolta o del successivo trattamento (art. 25 del regolamento UE
2016/679);
b) le modalita' con cui gli interessati, che ne facciano
richiesta, possono accedere alle informazioni contenute nel progetto
di ricerca.
I trattamenti effettuati mediante test genetici, compreso lo
screening, a fini di ricerca necessitano del consenso degli
interessati; in questi casi agli interessati e' richiesto di
dichiarare se vogliono conoscere o meno i risultati della ricerca,
comprese eventuali notizie inattese che li riguardano, qualora queste
ultime rappresentino per gli interessati un beneficio concreto e
diretto in termini di terapia o di prevenzione o di consapevolezza
delle scelte riproduttive.
4.11.2 Consenso.
Fermo quanto previsto al punto 4.5, i dati genetici e i campioni
biologici di persone che non possono fornire il proprio consenso per
incapacita', possono essere trattati per finalita' di ricerca
scientifica che non comportino un beneficio diretto per i medesimi
interessati qualora ricorrano contemporaneamente le seguenti
condizioni:
a) la ricerca e' finalizzata al miglioramento della salute di
altre persone appartenenti allo stesso gruppo d'eta' o che soffrono
della stessa patologia o che si trovano nelle stesse condizioni e il
programma di ricerca e' oggetto di motivato parere favorevole del
competente comitato etico a livello territoriale;
b) una ricerca di analoga finalita' non puo' essere realizzata
mediante il trattamento di dati riferiti a persone che possono
prestare il proprio consenso;
c) il consenso al trattamento e' acquisito da chi esercita
legalmente la potesta', ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora l'interessato;
d) la ricerca non comporta rischi significativi per la
dignita', i diritti e le liberta' fondamentali degli interessati.
In tali casi, resta fermo quanto sopra previsto in ordine
all'esigenza di tenere in considerazione, ove possibile, l'opinione
del minore o dell'incapace.
Nel caso in cui l'interessato revochi il consenso al trattamento
dei dati per scopi di ricerca, e' distrutto anche il campione
biologico sempre che sia stato prelevato per tali scopi, salvo che,
in origine o a seguito di trattamento, il campione non possa piu'
essere riferito ad una persona identificata o identificabile.
4.11.3 Conservazione a fini di ricerca e ulteriore trattamento.
In assenza del consenso degli interessati, i campioni biologici
prelevati e i dati genetici raccolti per scopi di tutela della salute
possono essere conservati e utilizzati per finalita' di ricerca
scientifica o statistica nei seguenti casi:
a) indagini statistiche o ricerche scientifiche previste dal
diritto dell'Unione europea, dalla legge o, nei casi previsti dalla
legge, da regolamento;
b) limitatamente al perseguimento di ulteriori scopi
scientifici e statistici direttamente collegati con quelli per i
quali e' stato originariamente acquisito il consenso informato degli
interessati.
Quando a causa di particolari ragioni non e' possibile informare
gli interessati malgrado sia stato compiuto ogni ragionevole sforzo
per raggiungerli, la conservazione e l'ulteriore utilizzo di campioni
biologici e di dati genetici raccolti per la realizzazione di
progetti di ricerca e indagini statistiche, diversi da quelli
originari, sono consentiti se una ricerca di analoga finalita' non
puo' essere realizzata mediante il trattamento di dati riferiti a
persone dalle quali puo' essere o e' stato acquisito il consenso
informato e:
aa) il programma di ricerca comporta l'utilizzo di campioni
biologici e di dati genetici che in origine non consentono di
identificare gli interessati, ovvero che, a seguito di trattamento,
non consentono di identificare i medesimi interessati e non risulta
che questi ultimi abbiano in precedenza fornito indicazioni
contrarie;
bb) ovvero il programma di ricerca, preventivamente oggetto di
motivato parere favorevole del competente comitato etico a livello
territoriale, e' sottoposto a preventiva consultazione del Garante ai
sensi dell'art. 36 del regolamento (UE) 2016/679.
4.11.4 Comunicazione e diffusione dei dati.
I dati genetici e i campioni biologici raccolti per scopi di
ricerca scientifica e statistica possono essere comunicati o
trasferiti a enti e istituti di ricerca, alle associazioni e agli
altri organismi pubblici e privati aventi finalita' di ricerca,
nell'ambito di progetti congiunti e nel rispetto dell'art. 26 del
regolamento.
I dati genetici e i campioni biologici raccolti per scopi di
ricerca scientifica e statistica possono essere comunicati o
trasferiti ai soggetti sopra indicati, qualora siano autonomi
titolari del trattamento, limitatamente alle informazioni prive di
dati identificativi, per scopi scientifici direttamente collegati a
quelli per i quali sono stati originariamente raccolti e chiaramente
determinati per iscritto nella richiesta dei dati e/o dei campioni.
In tal caso, il soggetto richiedente si impegna a non trattare i dati
e/o utilizzare i campioni per fini diversi da quelli indicati nella
richiesta e a non comunicarli o trasferirli ulteriormente a terzi.
5. Prescrizioni relative al trattamento dei dati personali effettuato
per scopi di ricerca scientifica (aut. gen. n. 9/2016).
5.1 Ambito di applicazione.
Le presenti prescrizioni concernono il trattamento effettuato da:
a) universita', altri enti o istituti di ricerca e societa'
scientifiche, nonche' ricercatori che operano nell'ambito di dette
universita', enti, istituti di ricerca e ai soci di dette societa'
scientifiche;
b) esercenti le professioni sanitarie e gli organismi sanitari;
c) persone fisiche o giuridiche, enti, associazioni e organismi
privati, nonche' soggetti specificatamente preposti al trattamento
quali designati o responsabili del trattamento (ricercatori,
commissioni di esperti, organizzazioni di ricerca a contratto,
laboratori di analisi, ecc.) (art. 2-quaterdecies del codice; art. 28
del regolamento UE 2016/679).
5.2 Tipologie di ricerche.
Le seguenti prescrizioni concernono il trattamento di dati
personali per finalita' di ricerca medica, biomedica ed
epidemiologica effettuati quando:
il trattamento e' necessario per la conduzione di studi
effettuati con dati raccolti in precedenza a fini di cura della
salute o per l'esecuzione di precedenti progetti di ricerca ovvero
ricavati da campioni biologici prelevati in precedenza per finalita'
di tutela della salute o per l'esecuzione di precedenti progetti di
ricerca oppure,
il trattamento e' necessario per la conduzione di studi
effettuati con dati riferiti a persone che, in ragione della gravita'
del loro stato clinico, non sono in grado di comprendere le
indicazioni rese nell'informativa e di prestare validamente il
consenso.
In questi casi la ricerca deve essere effettuata sulla base di un
progetto, oggetto di motivato parere favorevole del competente
comitato etico a livello territoriale.
5.3 Consenso.
Il consenso dell'interessato non e' necessario quando la ricerca
e' effettuata in base a disposizioni di legge o di regolamento o al
diritto dell'Unione europea.
Negli altri casi, quando non e' possibile acquisire il consenso
degli interessati, i titolari del trattamento devono documentare, nel
progetto di ricerca, la sussistenza delle ragioni, considerate del
tutto particolari o eccezionali, per le quali informare gli
interessati risulta impossibile o implica uno sforzo sproporzionato,
oppure rischia di rendere impossibile o di pregiudicare gravemente il
conseguimento delle finalita' della ricerca, tra le quali in
particolare:
1. i motivi etici riconducibili alla circostanza che
l'interessato ignora la propria condizione. Rientrano in questa
categoria le ricerche per le quali l'informativa sul trattamento dei
dati da rendere agli interessati comporterebbe la rivelazione di
notizie concernenti la conduzione dello studio la cui conoscenza
potrebbe arrecare un danno materiale o psicologico agli interessati
stessi (possono rientrare in questa ipotesi, ad esempio, gli studi
epidemiologici sulla distribuzione di un fattore che predica o possa
predire lo sviluppo di uno stato morboso per il quale non esista un
trattamento);
2. i motivi di impossibilita' organizzativa riconducibili alla
circostanza che la mancata considerazione dei dati riferiti al numero
stimato di interessati che non e' possibile contattare per
informarli, rispetto al numero complessivo dei soggetti che si
intende coinvolgere nella ricerca, produrrebbe conseguenze
significative per lo studio in termini di alterazione dei relativi
risultati; cio' avuto riguardo, in particolare, ai criteri di
inclusione previsti dallo studio, alle modalita' di arruolamento,
alla numerosita' statistica del campione prescelto, nonche' al
periodo di tempo trascorso dal momento in cui i dati riferiti agli
interessati sono stati originariamente raccolti (ad esempio, nei casi
in cui lo studio riguarda interessati con patologie ad elevata
incidenza di mortalita' o in fase terminale della malattia o in eta'
avanzata e in gravi condizioni di salute).
Con riferimento a tali motivi di impossibilita' organizzativa,
le seguenti prescrizioni concernono anche il trattamento dei dati di
coloro i quali, all'esito di ogni ragionevole sforzo compiuto per
contattarli (anche attraverso la verifica dello stato in vita, la
consultazione dei dati riportati nella documentazione clinica,
l'impiego dei recapiti telefonici eventualmente forniti, nonche'
l'acquisizione dei dati di contatto presso l'anagrafe degli assistiti
o della popolazione residente) risultino essere al momento
dell'arruolamento nello studio:
deceduti o
non contattabili.
Resta fermo l'obbligo di rendere l'informativa agli interessati
inclusi nella ricerca in tutti i casi in cui, nel corso dello studio,
cio' sia possibile e, in particolare, laddove questi si rivolgano al
centro di cura, anche per visite di controllo, anche al fine di
consentire loro di esercitare i diritti previsti dal regolamento;
3. motivi di salute riconducibili alla gravita' dello stato
clinico in cui versa l'interessato a causa del quale questi e'
impossibilitato a comprendere le indicazioni rese nell'informativa e
a prestare validamente il consenso. In tali casi, lo studio deve
essere volto al miglioramento dello stesso stato clinico in cui versa
l'interessato. Inoltre, occorre comprovare che le finalita' dello
studio non possano essere conseguite mediante il trattamento di dati
riferiti a persone in grado di comprendere le indicazioni rese
nell'informativa e di prestare validamente il consenso o con altre
metodologie di ricerca. Cio', avuto riguardo, in particolare, ai
criteri di inclusione previsti dallo studio, alle modalita' di
arruolamento, alla numerosita' statistica del campione prescelto,
nonche' all'attendibilita' dei risultati conseguibili in relazione
alle specifiche finalita' dello studio. Con riferimento a tali
motivi, deve essere acquisito il consenso delle persone indicate
nell´art. 82, comma 2, lettera a), del codice come modificato dal
decreto legislativo n. 101/2018. Cio', fermo restando che sia resa
all'interessato l'informativa sul trattamento dei dati non appena le
condizioni di salute glielo consentano, anche al fine dell'esercizio
dei diritti previsti dal regolamento.
5.4 Modalita' di trattamento.
Ove la ricerca non possa raggiungere i suoi scopi senza
l'identificazione, anche temporanea, degli interessati, nel
trattamento successivo alla raccolta retrospettiva dei dati, sono
adottate tecniche di cifratura o di pseudonimizzazione oppure altre
soluzioni che, considerato il volume dei dati trattati, la natura,
l'oggetto, il contesto e le finalita' del trattamento, li rendono non
direttamente riconducibili agli interessati, permettendo di
identificare questi ultimi solo in caso di necessita'. In questi
casi, i codici utilizzati non sono desumibili dai dati personali
identificativi degli interessati, salvo che cio' risulti impossibile
in ragione delle particolari caratteristiche del trattamento o
richieda un impiego di mezzi manifestamente sproporzionato e sia
motivato, altresi', per iscritto, nel progetto di ricerca.
L'abbinamento al materiale di ricerca dei dati identificativi
dell'interessato, sempre che sia temporaneo ed essenziale per il
risultato della ricerca, e' motivato, inoltre, per iscritto.
In applicazione del principio di minimizzazione, il trattamento
di dati personali per scopi di ricerca scientifica in campo medico,
biomedico o epidemiologico puo' riguardare i dati relativi alla
salute degli interessati e, solo ove indispensabili per il
raggiungimento delle finalita' della ricerca, congiuntamente anche i
dati relativi alla vita sessuale o all'orientamento sessuale, nonche'
all'origine razziale ed etnica (art. 5, paragrafo 1, lettera c), del
regolamento UE 2016/679).
5.5 Comunicazione e diffusione.
I soggetti che agiscono in qualita' di titolari del trattamento
per le finalita' in esame, anche unitamente ad altri titolari,
possono comunicare tra loro i dati personali oggetto della presente
autorizzazione nella misura in cui rivestano il ruolo di promotore,
di centro coordinatore o di centro partecipante e l'operazione di
comunicazione sia indispensabile per la conduzione dello studio.
In aggiunta al divieto di diffusione dei dati relativi alla
salute degli interessati (art. 2-septies del codice), non possono
essere diffusi anche quelli relativi alla vita sessuale,
all'orientamento sessuale e all'origine razziale ed etnica utilizzati
per la conduzione dello studio.
5.6 Conservazione dei dati e dei campioni.
I dati e i campioni biologici utilizzati per l'esecuzione della
ricerca sono conservati mediante tecniche di cifratura o
l'utilizzazione di codici identificativi oppure di altre soluzioni
che, considerato il numero dei dati e dei campioni conservati, non li
rendono direttamente riconducibili agli interessati, per un periodo
di tempo non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
A tal fine, e' indicato nel progetto di ricerca il periodo di
conservazione, successivo alla conclusione dello studio, al termine
del quale i predetti dati e campioni sono anonimizzati.
5.7 Custodia e sicurezza.
Fermo restando l'obbligo di adottare le misure tecniche e
organizzative per garantire un livello di sicurezza adeguato al
rischio, sono impiegati dal/i titolare/i del trattamento, ciascuno
per la parte di propria competenza in relazione al ruolo ricoperto
nel trattamento dei dati e alle conseguenti responsabilita',
specifiche misure e accorgimenti tecnici per incrementare il livello
di sicurezza dei dati trattati per l'esecuzione dello studio.
Cio' sia nella fase di memorizzazione o archiviazione dei dati
(e, eventualmente, di raccolta e conservazione dei campioni
biologici), sia nella fase successiva di elaborazione delle medesime
informazioni, nonche' nella successiva fase di trasmissione dei dati
al promotore o ai soggetti esterni che collaborano con il primo per
l'esecuzione dello studio. Sono adottati, in particolare:
a. accorgimenti adeguati a garantire la qualita' dei dati e la
corretta attribuzione agli interessati;
b. idonei accorgimenti per garantire la protezione dei dati
dello studio dai rischi di accesso abusivo ai dati, furto o
smarrimento parziali o integrali dei supporti di memorizzazione o dei
sistemi di elaborazione portatili o fissi (ad esempio, attraverso
l'applicazione parziale o integrale di tecnologie crittografiche a
file system o database, oppure tramite l'adozione di altre misure che
rendano inintelligibili i dati ai soggetti non legittimati) nelle
operazioni di registrazione e archiviazione dei dati;
c. canali di trasmissione protetti, tenendo conto dello stato
dell'arte della tecnologia, nei casi in cui si renda necessaria la
comunicazione dei dati raccolti nell'ambito dello studio a una banca
dati centralizzata dove sono memorizzati e archiviati oppure ad un
promotore o a soggetti esterni di cui lo stesso promotore si avvale
per la conduzione dello studio. Laddove detta trasmissione sia
effettuata mediante supporto ottico (CD-ROM) e' designato uno
specifico incaricato della ricezione presso il promotore ed e'
utilizzato, per la condivisione della chiave di cifratura dei dati,
un canale di trasmissione differente da quello utilizzato per la
trasmissione del contenuto;
d. tecniche di etichettatura, nella conservazione e nella
trasmissione di campioni biologici, mediante codici identificativi,
oppure altre soluzioni che, considerato il numero di campioni
utilizzati, li rendono non direttamente riconducibili agli
interessati, permettendo di identificare questi ultimi solo in caso
di necessita';
e. con specifico riferimento alle operazioni di elaborazione
dei dati dello studio memorizzati in una banca dati centralizzata, e'
necessario adottare:
idonei sistemi di autenticazione e di autorizzazione per il
personale preposto al trattamento in funzione dei ruoli ricoperti e
delle esigenze di accesso e trattamento, avendo cura di utilizzare
credenziali di validita' limitata alla durata dello studio e di
disattivarle al termine dello stesso;
procedure per la verifica periodica della qualita' e coerenza
delle credenziali di autenticazione e dei profili di autorizzazione
assegnati ai soggetti designati al trattamento;
sistemi di audit log per il controllo degli accessi al
database e per il rilevamento di eventuali anomalie.
Translate
lunedì 29 luglio 2019
Iscriviti a:
Post (Atom)