LEGGE PRIVACY D.LGS. 196/2003
ISTRUZIONI PER LE
AVIS COMUNALI CHE NON GESTISCONO DIRETTAMENTE LA RACCOLTA E CHE QUINDI HANNO
LIMITATI DATI SENSIBILI (elenco soci per gestione associativa, feste,
manifestazioni, date di donazioni e visite, per l’invio del ns. periodico,
benemerenze ecc.)
·
che il Presidente e Legale rappresentante pro
tempore è il Titolare del trattamento
dei dati (allegato 2)
·
nominare un Responsabile del trattamento e
Amministratore del sistema (allegato 2), che si consiglia di indicare
nel segretario pro tempore, redigendo apposito conferimento d’incarico (allegato
4)
·
nominare eventuali Incaricati al trattamento (allegato 2) consegnando loro una
lettera di incarico (allegato 3)
LA
TUTELA DELLA PRIVACY
Con la legge 675/1996 prima e con la recente normativa n.
196/2003, in vigore con scadenze diverse dal 2004, la tutela della riservatezza
dell’individuo ha trovato una precisa collocazione giuridica ed un fondamento
normativo nel nostro ordinamento. Con tale normativa e con l’applicazione
concreta della stessa si è riconosciuto in maniera implicita che il trattamento
dei dati personali è lecito, sempre che siano rispettati una serie di
adempimenti formali per la tutela della persona rispetto alla intrusione di
terzi nella sua vita privata.
Per
trattamento dei dati si intende “ qualunque operazione o complesso di
operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l’organizzazione, la conservazione,
la consultazione, l’elaborazione, la modificazione, la selezione,
l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche
se non registrati in una banca dati”.
La tutela della legge si realizza attraverso la previsione di
barriere preclusive al trattamento dei dati in ragione della loro minore o
maggiore potenzialità a rivelare la personalità di un individuo. Si
distinguono così i dati comuni da quelli sensibili. E, inoltre, si prevede una
serie di adempimenti per la protezione degli strumenti che li contengono
(registri, computers, banche dati, web, ecc.)
Dati personali sensibili sono quelli idonei a rivelare l’origine razziale ed etnica,
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati idonei a conoscere lo stato di salute e la vita
sessuale.
I dati comuni non sono
individuati dal legislatore e costituiscono una categoria residuale da ricavarsi
per esclusione da quelli sensibili.
La
legge prevede precisi obblighi per il trattamento dei dati sensibili ed essi si
sostanziano in adempimenti dettagliati, omessi i quali scattano sanzioni penali,
amministrative e civili a tutela dei diritti dei soggetti interessati.
L’informativa al donatore può essere resa anche oralmente ma
il legislatore prevede che il titolare del trattamento debba, in futuro, darne
prova e questo è possibile molto più facilmente con la semplice sottoscrizione
di un modulo al socio. Per titolare del trattamento deve essere inteso “la
persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono le decisioni in ordine alle
finalità ed alle modalità del trattamento dei dati personali, ivi compreso il
profilo di sicurezza”.
Per
i Centri di raccolta diviene necessario, oltre alla consegna di uno stampato che
riassuma chi è titolare dei dati e l’uso che si impegna a farne degli stessi,
anche l’accettazione formale dell’interessato per un preventivo consenso
libero ed informato del loro trattamento.
La legge ha istituito la figura del titolare del trattamento dei
dati personali: persona fisica o legale rappresentante di un ente, associazione
od altro organismo a cui competono vari obblighi:
notifica, modalità di raccolta e requisiti dei dati
richiesta del consenso e rilascio
dell’informativa all’interessato
comunicazione al Garante e redazione del
Documento programmatico sulla
sicurezza quando si è in presenza
di dati sensibili e di obbligo legislativo
adozione di misure di sicurezza e vigilanza
sull’osservanza della legge
verifica limiti all’utilizzabilità dei dati, eventuali risarcimenti per danni
causati.
Oltre al titolare la
legge prevede altre due figure:
1. il responsabile (ma
possono essere anche più di uno) è la figura operativa.
E’ cioè colui che viene delegato per iscritto dal titolare a
seguire i trattamenti
2.l’incaricato del
trattamento dei dati. (ma possono essere anche più di uno).
E’ la persona che materialmente effettua i trattamenti ed a cui
sono attribuiti compiti per garantire una puntuale applicazione della legge
sulla privacy e proteggere i dati.
Il titolare del trattamento, legale rappresentante
dell’associazione, dovrà garantire la segretezza dei dati da parte dei
responsabili e incaricati ed il trattamento degli stessi andrà effettuato nei
limiti delle finalità delineate e, quando necessario, con il consenso
dell’interessato che deve ottenere adeguata informativa.
Non è necessario il consenso, che sarebbe previsto per legge,
quando il trattamento dei dati è necessario per salvare la vita
dell’interessato (incapace di agire), per la tutela della salute di terzi o
della collettività e quando sono in gioco interessi da tutelare in via
giudiziaria. (Autorizzazione del Garante n. 2).
NON ABBIAMO QUINDI L’OBBLIGO DI
AVERE IL CONSENSO FIRMATO.
Per quanto riguarda l’obbligo di notifica al garante che si era
i possesso di archivi con dati comuni e/o sensibili su persone, il nuovo Codice
della privacy ha capovolto il principio contenuto nella precedente legge n.
657/1996: la notificazione non è più un obbligo generalizzato, bensì limitato
ad una serie di ipotesi tassative elencate nell’art. 37 del Codice.
NON ABBIAMO QUINDI L’OBBLIGO DI FARE
NOTIFICHE AL GARANTE.
La diffusione dei dati sulla salute sono ammessi solo per motivi
di prevenzione, accertamento e repressione di reati. I dati idonei a rilevare la
vita sessuale non possono essere diffusi. Sono infine tutelati i soggetti
portatori di HIV, i casi di interruzione della gravidanza e le vittime di
violenza sessuale.
FAC SIMILE DI INFORMATIVA E RICHIESTA DI CONSENSO AL
SOCIO ALLEGATO
1
AVIS
PROVINCIALE
AVIS COMUNALE
di
________________
di
___________________
Gent.ma
Sig.a / Egr. Sig. ________________________________________
nata/o
a______________________________
il _____________________
Informazione e richiesta di consenso ai sensi e per gli
effetti degli artt. 10, 11, 12, 20 e 22 della legge 31.12.1996 n. 675,
e art. n. 7 L. 196/03 relative alla tutela delle persone e di soggetti
rispetto al trattamento dei dati personali.
Gent.ma
Donatrice, Caro Donatore,
Le segnaliamo che i dati personali, inclusi quelli sensibili ed inerenti
alla salute che ci ha fornito all’atto della sua adesione all’Associazione e
tutti quelli che verranno successivamente acquisiti nello stesso ambito,
verranno da oggi utilizzati, regolarmente aggiornati ed integrati, per attuare
al meglio le attività associative e gli obblighi previsti dalla legislazione
relativa al funzionamento del servizio trasfusionale.
1)
Le finalità e le modalità del trattamento di tali dati, sono
destinate all’adempimento dei fini associativi definiti nello statuto che Lei
conosce e a cui dichiara di adeguarsi e alla esecuzione degli obblighi di
carattere legislativo previsti dalla legge 107/90, dalla legge 266/91 e dai
relativi decreti attuativi per quanto attiene all’attività complessiva e al
ruolo dell’Associazione; essi vengono regolarmente aggiornati e messi a
disposizione del Servizio Trasfusionale
...............................................................................................................................
2)
Le ricordiamo che il conferimento dei dati prima richiamati, riveste in
parte natura obbligatoria in quanto previsto dallo statuto associativo, dalle
leggi 107/90 e 266/91 e dai relativi decreti attuativi, ed in parte facoltativa
in quanto servono alla migliore gestione organizzativa e trasfusionale del
donatore. Un suo eventuale rifiuto alla gestione dei dati richiesti
determinerebbe una difficoltà nella sua puntuale ricerca sia per comunicazioni
personali che la riguardino, sia per eventuali necessità trasfusionali che si
potrebbero creare e potrebbe risultare incompatibile con la sua iscrizione
all’Associazione.
3)
La informiamo inoltre che esigenze particolari di trattamento
automatizzato e manuale dei dati che non possono essere svolte nell’ambito
della nostra associazione, potrebbero venire svolte presso altre strutture di
fiducia dell’Associazione le quali agiranno in qualità di responsabili della
gestione dei dati. L’elenco di tali strutture sarà esposto presso i locali
della sede territoriale alla quale Lei risulta iscritto o alla quale fa
riferimento per la sua iscrizione all’Associazione.
4)
I suoi dati anagrafici potranno essere
comunicati a terzi per permetterle di ricevere informazioni associative,
sanitarie, economiche e di altro genere che gli organismi dirigenti
dell’Associazione riterranno di interesse per i donatori. Sarà altresì
possibile che i suoi dati anagrafici vengano diffusi ai mass-media in occasione
di particolari eventi quali feste
sociali, per i quali è uso diffondere i nominativi dei donatori benemeriti.
5)
Sarà sua facoltà esercitare il diritto di accesso a tali dati, incluso
il diritto di conoscenza, cancellazione, nonché tutti i diritti previsti
dall’art. 13, di cui le consegniamo copia unitamente alla presente,
rivolgendosi al titolare del trattamento dei dati come sotto indicato.
6)
La portiamo a conoscenza del fatto che il titolare della gestione dei
dati personali è il legale rappresentante dell’AVIS
___________________________ con sede sociale in ______________________, presso
la sede associativa dell’AVIS ______________________, mentre quale
responsabile è stato incaricato il sig/dott._______________________________ con
domicilio presso i locali della sua sezione territoriale di appartenenza. La
informiamo altresì che in caso di variazione della figura del titolare o del
responsabile sarà esposta specifica comunicazione presso i locali della sede
territoriale alla quale Lei risulta iscritto o alla quale fa riferimento per la
sua inscrizione all’Associazione.
CONSENSO: Ho preso atto dell’informativa stesa per
iscritto che mi è stata consegnata in copia ed esprimo il mio libero consenso
al trattamento dei miei dati personali, inclusi quelli sensibili ed inerenti
alla salute per le finalità, con le modalità e nei limiti che mi sono stati
illustrati.
r
ESPRIMO
r
NON ESPRIMO
IL
MIO CONSENSO AL TRATTAMENTO DEI DATI COME DESCRITTO AI PUNTI 1, 2 E 3 DELL’INFORMATIVA SOPRA RIPORTATA.
r
ESPRIMO r
NON ESPRIMO
IL
MIO CONSENSO ALLA COMUNICAZIONE DEI SOLI DATI ANAGRAFICI A TERZI PER
CONSENTIRMI DI RICEVERE INFORMAZIONI SANITARIE, ECONOMICHE, ED ASSOCIATIVE CHE POTREBBERO ESSERE DI MIO INTERESSE.
r ESPRIMO
r
NON ESPRIMO
IL
MIO CONSENSO A CHE SI DIA PUBBLICA CONOSCENZA DEL MIO NOMINATIVO IN OCCASIONE
DI PARTICOLARI MOMENTI QUALE DONATORE BENEMERITO.
Ho
preso atto dei miei diritti di accesso che potrò esercitare nei modi previsti
dalla legge . Dichiaro inoltre di ricevere dall’Associazione, unitamente alla
presente, copia dell’art. 7 della
legge 196/2003.
Data
_____________
Firma _____________________
ALLEGATO
2
FAC-SIMILE DI VERBALE DEL CONSIGLIO DIRETTIVO
Comunale di../ Provinciale di../ Regionale..
Convocazione n° .................……….........
del ............................……………………......
ORDINE DEL GIORNO
1.
Approvazione del verbale della seduta precedente;
2.
Comunicazioni del Presidente;
3.
Nomina del Titolare del trattamento dei dati ai sensi del D. Lgs.
196/2003;
4.
Nomina del Responsabile del trattamento dei dati ai sensi del D. Lgs.
196/2003;
5.
Nomina degli Incaricati al trattamento dei dati e della lettera di
incarico;
6.
Varie ed eventuali.
|
Cognome e nome |
P |
A/G |
A |
Cognome e nome |
P |
A/G |
A |
|
1 |
|
|
|
8 |
|
|
|
|
2 |
|
|
|
9 |
|
|
|
|
3 |
|
|
|
10 |
|
|
|
|
4 |
|
|
|
11 |
|
|
|
|
5 |
|
|
|
12 |
|
|
|
|
6 |
|
|
|
13 |
|
|
|
|
7 |
|
|
|
14 |
|
|
|
P = presenti
A/G = assenti giustificati A =
assenti non giustificati
Sono presenti per il Collegio dei Sindaci i sigg.ri:
…………………..
………………………..
………………………
Il Presidente constatata la presenza del numero legale
dichiara valida la seduta e procede con l'Ordine del Giorno.
1° Punto all'Ordine del Giorno (Approvazione del verbale della seduta
precedente)
………………………………………………………………………………………………
2° Punto all'Ordine del Giorno (Comunicazioni del
Presidente)
……………………………………………………………………………………………..
3° Punto all'Ordine del Giorno (Nomina del Titolare del
trattamento dei dati ai sensi del D. Lgs. 196/2003).
A seguito di quanto previsto dalla normativa in materia di
Privacy, il Consiglio delibera, all’unanimità, di nominare quale Titolare del
trattamento dei dati dei ns. soci e terzi di cui siamo in possesso per le nostre
attività, nel rispetto dello statuto associativo, il Presidente pro tempore
dell’Associazione. Per questo mandato, quindi, il Sig.
…………………………
4° Punto all'Ordine del Giorno (Nomina del Responsabile
del trattamento dei dati ai sensi del D. Lgs. 196/2003).
A seguito di quanto previsto dalla normativa in materia di
Privacy, il Consiglio delibera, all’unanimità, di nominare quale Responsabile
del trattamento dei dati dei ns. soci e terzi di cui siamo in possesso per le
nostre attività, nel rispetto dello statuto associativo, il Segretario pro
tempore dell’Associazione. Per questo mandato, quindi, il Sig.
…………………………
5° Punto all'Ordine del Giorno (Nomina degli Incaricati al
trattamento dei dati e della lettera di incarico).
A seguito di quanto previsto dalla normativa in materia
di Privacy, il Consiglio delibera, all’unanimità, di nominare quali
Incaricati al trattamento dei dati dei ns. soci e terzi di cui siamo in possesso
per le nostre attività, nel rispetto dello statuto associativo, i Sig.ri
…………………………, …………………….,
……………………… che opereranno osservando tutte le misure di
protezione e sicurezza atte ad evitare rischi di distruzione, perdita e/o di
accesso non autorizzato o trattamento non consentito dei dati raccolti
dall’associazione giusta lettera che verrà trasmessa loro dal Titolare e/o
Responsabile del trattamento, che con tale dichiarazione dà loro una preventiva
autorizzazione per l’accesso ed uso dei dati, e che sarà sottoscritta per
accettazione dagli stessi.
6° Punto all'Ordine del Giorno (Varie ed eventuali).
……………………………………………………………………………………………..
Null’altro essendovi da deliberare, la riunione termina
alle ore ______
Il Segretario
Il Presidente
…………………….
…………………………
ALLEGATO
3
FAC SIMILE CONFERIMENTO D’INCARICO
ALL’INCARICATO AL TRATTAMENTO DATI E ISTRUZIONI
Egregio signore, gent.ma
Signora,
Il sottoscritto,
Titolare/Responsabile del trattamento dei dati di codesta associazione di
volontarito, ai sensi dell’art. 1, comma 2, della L. 675/1996 sostituita con
D. Lgs. N. 196/2003, sulla tutela dei dati personali, nominato con delibera del
Consiglio direttivo del …………., con la presente La individua quale
incaricato/a del trattamento dei dati personali ed eventualmente sensibili (ai
sensi di quanto previsto dal D.P.R. n. 318/99) in considerazione dei compiti a
Lei affidati dall’Avis.
Per il trattamento dei
dati personali la legge intende “qualunque operazione o complesso di
operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque
automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la
conservazione, l’elaborazione, la modificazione, la diffusione, la
cancellazione e la distruzione dei dati”.
La nuova disciplina
impone di trattare i dati personali rispettando il diritto alla riservatezza
degli interessati, prescrivendo un trattamento lecito e corretto.
Nell’assolvimento del
compito in questione e nel rispetto delle previsioni statutarie,
Lei dovrà osservare scrupolosamente le istruzioni che si riferiscono a
inserimento, cancellazione, modifica ecc. dei dati dei soci e terzi e che
riguardano le attività associative istituzionali e/o connesse..
Lei potrà accedere alla banca dati
dei donatori e altri soci dell’AVIS Comunale, non potrà creare nuove banche
dati, salvo preventiva autorizzazione del Responsabile, non potrà trasmettere a
terzi od utilizzare all’esterno i contenuti della banca dati e che sarà
tenuto ad osservare tutte le misure di protezione e sicurezza atte ad evitare
rischi di distruzione, perdita, accesso non autorizzato o trattamento non
consentito, già in atto o successivamente indicate dal Responsabile,
consegnando allo stesso la parola chiave adottata e le eventuali
modificazioni”.
RingraziandoLa per la
collaborazione, porgiamo i ns. migliori saluti.
AVIS ………………… di …………..…
Il Titolare del trattamento
PER
ACCETTAZIONE DEL CONTENUTO
L’Incaricato
del trattamento dei dati
ALLEGATO 4
FAC SIMILE CONFERIMENTO D’INCARICO
AL RESPONSABILE AL TRATTAMENTO DATI E ISTRUZIONI
Al
sig.
data ………..
Consegnata
a mano
Oggetto: conferimento della qualifica di responsabile -
amministratore di sistema e trattamento dei dati ai sensi D. Lgs. N. 196/2003
Con
riferimento al sistema informativo dell’AVIS _____________, e preso atto della
sua competenza specifica od acquisita, la informiamo che, in data
………….., su delibera del
Consiglio direttivo, Le viene attribuita la qualifica di
RESPONSABILE DEL TRATTAMENTO DEI DATI - Aministratore di
sistema,
ai
sensi del regolamento sulle misure minime di sicurezza della normativa in
materia, con il compito di
sovrintendere alle risorse del sistema operativo del sistema informativo
stesso e/o del sistema di basi dati e di consentirne la utilizzazione.
Sarà
pertanto suo compito:
·
vigilare sulla attività degli incaricati - preposti
·
attribuire a ciascun utente o incaricato dei trattamento
un codice identificativo personale per l'utilizzazione
dell’elaboratore; uno stesso codice non può, neppure in tempi diversi, essere
assegnato a persone diverse;
·
assegnare e gestire i codici identificativi personali
in modo che ne sia prevista la disattivazione in caso di perdita della
qualità che ne consentiva l'accesso all'elaboratore o di mancato utilizzo dei
medesimi per un periodo superiore ai sei mesi;
·
provvedere acciocché gli elaboratori del sistema informativo a
lei affidato siano protetti contro il rischio di intrusione ad opera di
programmi di cui all'articolo 615 quinquies c.p., mediante idonei programmi, la
cui efficacia ed aggiornamento siano da lei verificati con cadenza almeno
semestrale;
·
assistere il titolare nella attuazione pratica delle
autorizzazioni all'accesso per il trattamento dei dati
·
assistere il titolare nella gestione sicura dei supporti ed aree
di memoria, interni od esterni al sistema di trattamento, già utilizzati per il
trattamento dei dati personali in possesso dell’associazione, provvedendo a
che le informazioni precedentemente contenute non siano ricuperabili, o
provvedere alla loro distruzione
·
assistere il titolare nella conservazione
e custodia sicura dei supporti
non informatici contenenti la riproduzione di informazioni relative al
trattamento di dati personali così come previsto dalla legge
·
assistere il titolare nella compilazione ed aggiornamento del
documento programmatico sulla sicurezza, di cui all'art. 6 del regolamento, in
quanto applicabile
Il
titolare responsabile del
trattamento
AVIS
………………. di …………………
Per
accettazione
…………………………………………..
ALLEGATO 5
PER SEDI CON DATI IN PERSONAL COMPUTER
DPS – Documento
Programmatico sulla Sicurezza
Premessa
Il
presente documento corrisponde al D.Lgs N. 196/2003 in particolare a quanto
indicato al “Titolo V – Sicurezza dei
dati, capo II – misure minime di sicurezza”
Art. 31
(Obblighi
e sicurezza)
I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisiste in base al progresso
tecnico, alla natura dei dati ed alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alla finalità della raccolta.
Art. 33
(Misure
minime)
Nel quadro dei più generali obblighi di sicurezza di cui
all’art. 31, o previsti da speciali disposizioni, il titolare del trattamento
è comunque tenuto ad adottare le misure minime individuate nel presente capo o
ai senso dell’art. 58, comma 3, volte ad assicurare un livello minimo dei dati
personali.
(Trattamento
con strumenti elettronici)
Il trattamento dei dati personali effettuato con strumenti
elettronici è consentito in quanto sono adottate le seguenti misure minime:
a)
Autenticazione informatica;
b)
Adozione di procedure di gestione delle credenziali di
autenticazione;
c)
Utilizzazione di un sistema di autorizzazione;
d)
Aggiornamento periodico dell’individuazione dell’ambito
del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
e)
Protezione degli strumenti elettronici e dei dati rispetto
a trattamento illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
f)
Adozione di procedure per la custodia di copie di
sicurezza; adozione di tecniche di cifrature per determinati trattamenti di dati
idonei a rivelare lo stato di salute.
L’AVIS ha pertanto corrisposto a
quanto previsto dalla norma adottando il presente “Documento Programmatico sulla Sicurezza”.
La stesura del documento si è basata su quanto suggerito
dal Garante nella “Guida operativa per redigere il Documento Programmatico
sulla Sicurezza, pubblicata sul sito ufficiale del Garante in versione
definitiva in data 11/06/2004; le tabelle, che costituiscono parte integrante e
sostanziale del presente documento, sono state predisposte e compilate in
corrispondenza della Guida Operativa.
Tabella 1.1
– Elenco dei trattamenti: informazioni essenziali
| Descrizione sintetica del trattamento | Natura dei dati trattati | Struttura di riferimento | Descrizione degli strumenti utilizzati | |
| Finalità perseguita o attività svolta | Categorie di interessati | |||
| Gestione Donatori di Sangue | Donatori volontari di sangue | Sensibili | AVIS | Personal Computer |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Tabella 1.2 – Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti
| Codice |
Identificativo del trattamento | Eventuale Banca dati | Ubicazione fisica dei supporti di memorizzazione | Tipologia di dispositivi di accesso | Tipologia di interconnessione |
| 1 | Chiamata dei Donatori per la donazione | ……… | Sede AVIS | PC desktop | Nessuna |
| 2 | Ricerca di donatori per varie tipologie | ……… | Sede AVIS | PC desktop | Nessuna |
| 3 | Invio di comunicati vari | ……… | Sede AVIS | PC desktop | Nessuna |
Tabella 2 – Competenze e responsabilità delle strutture preposte ai trattamenti
| Struttura |
Codici dei trattamenti effettuati dalla struttura | Descrizione dei compiti e delle responsabilità della struttura |
| AVIS |
1 , 2 , 3 | Acquisizione e caricamento dei dati, consultazione, aggiornamento, selezione, comunicazione ai Donatori, indagini statistiche per tipologia di dati, salvataggi e ripristini |
Tabella 3
– Analisi dei rischi
|
Rischi |
Si/No |
Descrizione dell’impatto sulla
sicurezza (Gravità:
Alta – Media – Bassa) |
|
|
Comportamento
degli operatori |
Sottrazione di credenziali di
autenticazione |
Si |
Bassa (i dati sensibili sono pochissimi e di scarso
rilievo) |
|
Carenza di consapevolezza, disattenzione o incuria |
Si |
Bassa (vedi sopra) |
|
|
Comportamenti sleali o fraudolenti |
No |
Lo statuto dell’AVIS vincola ad un suo corretto di
risorse e di soci |
|
|
|
|
|
|
|
Errore materiale |
Si |
Bassa (facilità di ripristino) |
|
|
Altro evento |
|
|
|
|
Eventi
relativi agli strumenti |
Azione di virus informatici o di programmi suscettibili
di recare danno |
Si |
Bassa (facilità di ripristino) |
|
Spamming o tecniche di sabotaggio |
No |
In quanto i dati non sono di interesse tale da
valorizzare un sabotaggio |
|
|
Malfunzionamento, indisponibi-lità o degrado degli
strumenti |
Si |
Bassa (facilità di ripristino) |
|
|
Accessi esterni non autorizzati |
No |
PC non in rete |
|
|
Intercettazione di informazioni in rete |
No |
PC non in rete |
|
|
Altro evento |
|
|
|
|
Eventi
relativi al contesto |
Accessi esterni non autorizzati ai locali |
Si |
Bassa (facilità di ripristino) |
|
Sottrazione di strumenti contenenti dati |
Si |
Bassa (facilità di ripristino) |
|
|
Eventi distruttivi, naturali o artificiali, nonché
dolosi, accidentali o dovuti ad incuria |
Si |
Bassa (facilità di ripristino) |
|
|
Guasto ai sistemi complementari (impianto elettrico,
climatizzazione, ecc) |
Si |
Bassa (facilità di ripristino) |
|
|
Errori umani nella gestione della sicurezza fisica |
Si |
Bassa (facilità di ripristino) |
|
|
Altro evento |
|
|
|
Tabella 4.1 – Le misure di sicurezza adottate o da adottare
| Misure |
Descrizione dei rischi contrastati | Cod. trat-tamenti interessati | Misure |
Struttura o persone addette all’adozione | |
| in essere | da adottare | ||||
| Sistema di autenticazione informatica | Impedire l’accesso agli intrusi |
1
, 2 , 3
|
Autenticazione informatica | Si | AVIS |
| Sistema di cifratura | Rendere inaccessibili i dati sensibili | 1 , 2 , 3 | Si | AVIS
|
|
Tabella 5.1 – Criteri e procedure per il ripristino della
disponibilità dei dati
| Ripristino |
||
| Banca/Database/Archivio di dati | Criteri e procedure per il salvataggio e il ripristino dei dati | Pianificazione delle prove di ripristino |
| MSED / AVIS | Giornalmente con procedura prevista dall’applicativo | Mensilmente |
|
|
|
| Salvataggio |
|||
| Banca Dati | Criteri e procedure per il salvataggio | Luogo di custodia delle copie | Struttura o persona incaricata del salvataggio |
| MSED / AVIS |
> Giornalmente
copia di backup sul secondo HD (fisico o logico) > Almeno
settimanalmente mediante procedura prevista dall’applicativo. > Mensilmente effettuare una copia dell’immagine dell’intero disco contenente la banca dati.
|
Sede AVIS | AVIS |
Tabella 6
– Pianificazione degli interventi formativi previsti
| Descrizione sintetica degli interventi formativi | Classi di incarichi o tipologie di incaricati interessati | Tempi previsti |
| Corsi sull’utilizzo del programma | ·
Soci volontari AVIS che utilizzano il programma · Personale del Servizio civile |
A
richiesta, se necessario, in quanto il manuale è sufficientemente
esplicativo anche per i non addetti ai lavori
|
Tabella 8 – Cifratura dei dati
| Codici trattamento dati | Protezione scelta | Tecnica adottata | |
| Descrizione |
Informazioni utili | ||
| 1 , 2 , 3 | Cifratura |
La crittografia dei valori contenuti nei campi è eseguita mediante le funzioni base di crittografia di Windows utilizzando le funzionalità contenute nelle librerie denominate comunemente Cripto Api | |
Per il
Consiglio Direttivo
AVIS
……………… di ……..
Il
Presidente
Delibera
del Consiglio Direttivo del ……………..
ALLEGATO
5bis
Per sedi
Avis con dati su supporto cartaceo
DPS – Documento Programmatico sulla Sicurezza
Premessa
Il presente documento corrisponde al D.Lgs N. 196/2003 in
particolare a quanto indicato al “Titolo
V – Sicurezza dei dati, capo II – misure minime di sicurezza”
Art. 31
(Obblighi e sicurezza)
I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisiste in base al progresso
tecnico, alla natura dei dati ed alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alla finalità della raccolta.
Art. 33
(Misure
minime)
Nel quadro dei più generali obblighi di sicurezza di cui
all’art. 31, o previsti da speciali disposizioni, il titolare del trattamento
è comunque tenuto ad adottare le misure minime individuate nel presente capo o
ai senso dell’art. 58, comma 3, volte ad assicurare un livello minimo dei dati
personali.
(Trattamento
con strumenti elettronici)
Il
trattamento dei dati personali effettuato con strumenti elettronici è
consentito in quanto sono adottate le seguenti misure minime:
g)
Autenticazione informatica;
h)
Adozione di procedure di gestione delle credenziali di autenticazione;
i)
Utilizzazione di un sistema di autorizzazione;
j)
Aggiornamento periodico dell’individuazione dell’ambito
del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
k)
Protezione degli strumenti elettronici e dei dati rispetto
a trattamento illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
l)
Adozione di procedure per la custodia di copie di
sicurezza; adozione di tecniche di cifrature per determinati trattamenti di dati
idonei a rivelare lo stato di salute.
L’AVIS
ha pertanto corrisposto a quanto previsto dalla norma adottando il presente “Documento
Programmatico sulla Sicurezza”.
La stesura del documento si è basata su quanto suggerito
dal Garante nella “Guida operativa per redigere il Documento Programmatico
sulla Sicurezza, pubblicata sul sito ufficiale del Garante in versione
definitiva in data 11/06/2004; le tabelle, che costituiscono parte integrante e
sostanziale del presente documento, sono state predisposte e compilate in
corrispondenza della Guida Operativa.
Tabella 1.1 – Elenco dei trattamenti: informazioni essenziali
| Descrizione sintetica del trattamento | Natura dei dati trattati | Struttura di riferimento | Descrizione degli strumenti utilizzati | |
| Finalità perseguita o attività svolta |
Categorie
di interessati |
|||
| Gestione Donatori di Sangue | Donatori volontari di sangue | Sensibili |
AVIS |
Supporto cartaceo |
Tabella 1.2 – Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti
| Codice |
Identificativo del trattamento | Eventuale Banca dati | Ubicazione fisica dei supporti di memorizzazione | Tipologia di dispositivi di accesso |
| 1 | Chiamata dei Donatori per la donazione |
|
Registro donatori Schede donatori | |
| 2 | Ricerca di donatori per varie toipologie | Sede AVIS | Registro donatori Schede donatori | |
| 3 | Invio di comunicati vari | Sede AVIS | Registro donatori Schede donatori |
Tabella 2 – Competenze e responsabilità delle strutture preposte ai trattamenti
| Struttura |
Codici dei trattamenti effettuati dalla struttura | Descrizione dei compiti e delle responsabilità della struttura |
| AVIS |
1 , 2 , 3 | Acquisizione e caricamento dei dati, consultazione, aggiornamento, selezione, comunicazione ai Donatori, indagini statistiche per tipologia di dati, salvataggi e ripristini |
Tabella 3 – Analisi dei rischi
|
Rischi |
Si/No |
Descrizione dell’impatto sulla sicurezza (Gravità:
Alta – Media – Bassa) |
|
|
|
Comportamento
degli operatori |
|
|||
|
Carenza
di consapevolezza, disattenzione o incuria |
Si |
Bassa
(vedi sopra) |
|
|
|
Comportamenti
sleali o fraudolenti |
No |
Lo
statuto dell’AVIS vincola ad un suo corretto di risorse e di soci |
|
|
|
Errore
materiale |
Si |
Bassa
(facilità di ripristino) |
|
|
|
Errori
umani nella gestione della sicurezza fisica |
Si |
Bassa
(facilità di ripristino) |
|
|
|
Eventi
relativi agli strumenti |
Indisponibilità
o degrado degli strumenti |
Si |
Bassa
(facilità di ripristino) |
|
|
Altro
evento |
|
|
|
|
|
Accessi
esterni non autorizzati ai locali |
Si |
Bassa
(facilità di ripristino) |
|
|
|
Sottrazione
di strumenti contenenti dati |
Si |
Bassa
(facilità di ripristino) |
|
|
|
Eventi
distruttivi, naturali o artificiali, nonché dolosi, accidentali o dovuti
ad incuria |
Si |
Bassa
(facilità di ripristino) |
||
|
|
|
|
|
|
Tabella 4.1 – Le misure di sicurezza adottate o da adottare
| Misure |
Descrizione dei rischi contrastati | Cod. trat-tamenti interessati | Misure |
Struttura o persone addette all’adozione | |
| Sicurezza dei locali | Accessi esterni non autorizzati ai locali | 1 , 2 , 3 | in essere | da adottare | AVIS |
| Adeguate misure di sicurezza | |||||
Tabella 5.1 – Criteri e procedure per il ripristino della disponibilità dei dati
| Ripristino |
||
| Archivio di dati | Criteri e procedure per il salvataggio e il ripristino dei dati | Pianificazione delle prove di ripristino |
| Registro Donatori | Eventuale copia incrociata dei dati | Nessuna |
| Schede Donatori |
Per il
Consiglio Direttivo
AVIS
……………… di ……..
Il
Presidente
Delibera
del Consiglio Direttivo del ……………..
Termini
tecnici della normativa privacy
|
Termini usati dal legislatore |
Loro significato |
|
DATI PERSONALI |
Sono tutte le
informazioni relative a persona fisica (persona giuridica, ente od
associazione) identificate o identificabili. Es. Nome, cognome, indirizzo,
numeri telefonici, n. Patente, P. IVA.... |
|
DATI SENSIBILI |
Sono i dati che
devono essere maggiormente tutelati, e sono relativi a razza o etnia, ad
eventuali adesioni a partiti (ritenute sindacali), organizzazioni a
carattere religioso, politico, associazioni di categoria, nonché dati
personali idonei a rilevare lo stato di salute (cartelle mediche) e
la vita sessuale del singolo. |
|
BANCA DATI |
E’ una
raccolta di dati personali. |
|
MISURE DI SICUREZZA
|
Si tratta di
custodire i documenti approntando degli accorgimenti (armadietti chiusi a
chiave, firewall, wiping, accesso selezionato ai dati...) |
|
TRATTAMENTO DEI DATI |
Consiste in
qualunque operazione o insieme di operazioni, eseguite o meno grazie ad un
computer, riguardanti la raccolta, la registrazione, l'organizzazione, la
conservazione, l'elaborazione, la modificazione, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati. |
|
TITOLARE DEL TRATTAMENTO
|
E’ la persona
fisica, (la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo) che ha la competenza a decidere in
ordine alle finalità, alle modalità del trattamento di dati personali
ed alla loro sicurezza. |
|
RESPONSABILE DEL TRATTAMENTO DEI
DATI |
E’ la persona
fisica (la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo) che il titolare (che decide)
prepone al trattamento di dati personali. Titolare e responsabile possono
essere la stessa persona. I compiti affidati ad esso devono essere
analiticamente specificati per iscritto. |
|
INCARICATO |
E’
colui/coloro che elabora i dati personali sulla base delle istruzioni
scritte del titolare o del responsabile |
|
INTERESSATO |
E’ la persona
fisica (la persona giuridica, l'ente o l'associazione) a cui si
riferiscono i dati personali trattati. |
|
PASSWORD |
E’ la parola
chiave, una sequenza di lettere e/o numeri, che serve per accordare
l’accesso al sistema informatico agli utenti. |
|
USER ID (Username) |
E’ un codice
identificativo personale formato da lettere e/o numeri. Viene sempre abbinato
alla password (segreta). |
|
AMMINISTRATORE DI SISTEMA |
E' il soggetto
che si occupa del sistema informatico e delle risorse operative. |
SANZIONI
CIVILI E PENALI
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Autorizzazione n. 2 del 2004 al trattamento dei dati idonei a
rivelare lo stato di salute e la vita sessuale IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof.
Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni
Buttarelli, segretario generale; Visto il decreto
legislativo 30 giugno 2003, n. 196, recante il Codice in
materia di protezione dei dati personali; Visto, in particolare, l'art.
4, comma 1, lett. d), del citato Codice, il quale individua i
dati sensibili; Considerato che, ai sensi dell'art.
26, comma 1, del Codice, i soggetti privati e gli enti pubblici
economici possono trattare i dati sensibili solo previa autorizzazione di
questa Autorità e, ove necessario, con il consenso scritto degli
interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal
Codice, nonché dalla legge e dai regolamenti; Visto l'art.
76 del Codice, secondo cui gli esercenti le professioni
sanitarie e gli organismi sanitari pubblici, anche nell'ambito di
un'attività di rilevante interesse pubblico ai sensi dell'articolo
85 del medesimo Codice, possono trattare i dati personali
idonei a rivelare lo stato di salute anche senza il consenso
dell'interessato, previa autorizzazione del Garante, se il trattamento
riguarda dati e operazioni indispensabili per perseguire una finalità di
tutela della salute o dell'incolumità fisica di un terzo o della
collettività; Considerato che il trattamento dei dati in questione può
essere autorizzato dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art.
40 del Codice); Considerato che le autorizzazioni di carattere generale sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresì superflua la
richiesta di singoli provvedimenti di autorizzazione da parte di numerosi
titolari del trattamento; Ritenuto opportuno, dopo l'entrata in vigore del Codice,
rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il
30 giugno 2004, armonizzando le prescrizioni già impartite alla luce
dell'esperienza maturata; Ritenuto opportuno che anche tali nuove autorizzazioni siano
provvisorie e a tempo determinato ai sensi dell'art.
41, comma 5, del Codice, e, in particolare, efficaci per il
periodo di dodici mesi, in relazione alla fase di prima applicazione delle
nuove disposizioni del Codice; Considerata la necessità di garantire il rispetto di alcuni
princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà
fondamentali, nonché per la dignità delle persone, e, in particolare,
per il diritto alla protezione dei dati personali sancito all'art.
1 del Codice, princìpi valutati anche sulla base delle
raccomandazioni adottate in materia di dati sanitari dal Consiglio
d'Europa ed in particolare dalla Raccomandazione N.R (97) 5, in base alla
quale i dati sanitari devono essere trattati, di regola, solo nell'ambito
dell'assistenza sanitaria o sulla base di regole di segretezza e di
efficacia pari a quelle previste in tale ambito; Considerato che un elevato numero di trattamenti idonei a
rivelare lo stato di salute e la vita sessuale è effettuato per finalità
di prevenzione o di cura, per la gestione di servizi socio-sanitari, per
ricerche scientifiche o per la fornitura all'interessato di prestazioni,
beni o servizi; Visto l'art.
167 del Codice; Visto l'art.
11, comma 2, del Codice, il quale stabilisce che i dati
trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e
seguenti del Codice e il disciplinare tecnico di cui all'Allegato
B al Codice in materia di protezione dei dati personali
recanti norme e regole sulle misure di sicurezza; Visto l'art.
41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art.
15 del regolamento del Garante n. 1/2000; Relatore il prof. Stefano Rodotà; Autorizza a) gli esercenti le professioni sanitarie a trattare i dati
idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano
indispensabili per tutelare l'incolumità fisica o la salute di un terzo o
della collettività, e il consenso non sia prestato o non possa essere
prestato per effettiva irreperibilità; b) gli organismi e le case di cura private, nonché ogni altro
soggetto privato, a trattare con il consenso i dati idonei a rivelare lo
stato di salute e la vita sessuale; c) gli organismi sanitari pubblici, istituiti anche presso
università, ivi compresi i soggetti pubblici allorché agiscano nella
qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo
stato di salute, qualora ricorrano contemporaneamente le seguenti
condizioni: 1) il trattamento sia finalizzato alla tutela dell'incolumità
fisica e della salute di un terzo o della collettività; 2) manchi il consenso (articolo
76, comma 1, lett. b), del Codice), in quanto non sia prestato
o non possa essere prestato per effettiva irreperibilità; 3) non si tratti di attività amministrative correlate a quelle
di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art.
85, commi 1 e 2, del Codice; d) anche soggetti diversi da quelli di cui alle lettere a), b)
e c) a trattare i dati idonei a rivelare lo stato di salute e la vita
sessuale, qualora il trattamento sia necessario per la salvaguardia della
vita o dell'incolumità fisica di un terzo. Se la medesima finalità
riguarda l'interessato e quest'ultimo non può prestare il proprio
consenso per impossibilità fisica, per incapacità di agire o per
incapacità d'intendere o di volere, il consenso è manifestato da chi
esercita legalmente la potestà, ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l'interessato. Per l'informativa e, ove previsto, il consenso si osservano
anche le disposizioni di cui agli articoli 13,
23,
26 e
da 75 a
82 del
Codice. 1) Ambito di applicazione e finalità
del trattamento 1.1. L'autorizzazione è rilasciata: a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli
psicologi e agli altri esercenti le professioni sanitarie iscritti in albi
o in elenchi; b) al personale sanitario infermieristico, tecnico e della
riabilitazione che esercita l'attività in regime di libera professione; c) alle istituzioni e agli organismi sanitari privati, anche
quando non operino in rapporto con il servizio sanitario nazionale. In tali casi, l'autorizzazione è rilasciata anche per
consentire ai destinatari di adempiere o di esigere l'adempimento di
specifici obblighi o di eseguire specifici compiti previsti da leggi,
dalla normativa comunitaria o da regolamenti, in particolare in materia di
igiene e di sanità pubblica, di prevenzione delle malattie professionali
e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi
e tessuti, di riabilitazione degli stati di invalidità e di inabilità
fisica e psichica, di profilassi delle malattie infettive e diffusive, di
tutela della salute mentale, di assistenza farmaceutica e di assistenza
sanitaria alle attività sportive o di accertamento, in conformità alla
legge, degli illeciti previsti dall'ordinamento sportivo. Il trattamento
può riguardare anche la compilazione di cartelle cliniche, di certificati
e di altri documenti di tipo sanitario, ovvero di altri documenti relativi
alla gestione amministrativa la cui utilizzazione sia necessaria per i
fini appena indicati. Qualora il perseguimento di tali fini richieda l'espletamento
di compiti di organizzazione o di gestione amministrativa, i destinatari
della presente autorizzazione devono esigere che i responsabili e gli
incaricati del trattamento preposti a tali compiti osservino le stesse
regole di segretezza alle quali sono sottoposti i medesimi destinatari
della presente autorizzazione, nel rispetto di quanto previsto anche
dall'art. 83, comma 1, del Codice.
a) alle persone fisiche o giuridiche, agli enti, alle
associazioni e agli altri organismi privati, per scopi di ricerca
scientifica, anche statistica, finalizzata alla tutela della salute
dell'interessato, di terzi o della collettività in campo medico,
biomedico o epidemiologico, allorché si debba intraprendere uno studio
delle relazioni tra i fattori di rischio e la salute umana, o indagini su
interventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero
sull'utilizzazione di strutture socio-sanitarie, e la disponibilità di
dati solo anonimi su campioni della popolazione non permetta alla ricerca
di raggiungere i suoi scopi. In tali casi occorre acquisire il consenso
(in conformità a quanto previsto dagli articoli 106,
107 e
110 del
Codice), e il trattamento successivo alla raccolta non deve permettere di
identificare gli interessati anche indirettamente, salvo che l'abbinamento
al materiale di ricerca dei dati identificativi dell'interessato sia
temporaneo ed essenziale per il risultato della ricerca, e sia motivato,
altresì, per iscritto. I risultati della ricerca non possono essere
diffusi se non in forma anonima. Resta fermo quanto previsto dall'art.
98 del Codice; b) alle organizzazioni di volontariato o assistenziali,
limitatamente ai dati e alle operazioni indispensabili per perseguire
scopi determinati e legittimi previsti, in particolare, nelle rispettive
norme statutarie; c) alle comunità di recupero e di accoglienza, alle case di
cura e di riposo, limitatamente ai dati e alle operazioni indispensabili
per perseguire scopi determinati e legittimi previsti, in particolare,
nelle rispettive norme statutarie; d) agli enti, alle associazioni e alle organizzazioni religiose
riconosciute, relativamente ai dati e alle operazioni indispensabili per
perseguire scopi determinati e legittimi nei limiti di quanto stabilito
dall'art.
26, comma 4, lett. a), del Codice, fermo restando quanto
previsto per le confessioni religiose dagli articoli 26,
comma 3, lett. a), e 181,
comma 6, del Codice e dell'autorizzazione
n. 3/2004; e) alle persone fisiche e giuridiche, alle imprese, agli enti,
alle associazioni e ad altri organismi, limitatamente ai dati, ove
necessario attinenti anche alla vita sessuale, e alle operazioni
indispensabili per adempiere agli obblighi, anche precontrattuali,
derivanti da un rapporto di fornitura all'interessato di beni, di
prestazioni o di servizi. Se il rapporto intercorre con istituti di credito, imprese
assicurative o riguarda valori mobiliari, devono considerarsi
indispensabili i soli dati ed operazioni necessari per fornire specifici
prodotti o servizi richiesti dall'interessato. Il rapporto può riguardare
anche la fornitura di strumenti di ausilio per la vista, per l'udito o per
la deambulazione; f) alle persone fisiche e giuridiche, agli enti, alle
associazioni e agli altri organismi che gestiscono impianti o strutture
sportive, limitatamente ai dati e alle operazioni indispensabili per
accertare l'idoneità fisica alla partecipazione ad attività sportive o
agonistiche; g) alle persone fisiche e giuridiche e ad altri organismi,
limitatamente ai dati dei beneficiari e dei donatori e alle operazioni
indispensabili per effettuare trapianti di organi e tessuti, nonché
donazioni di sangue.
a) lo svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un
diritto anche da parte di un terzo in sede giudiziaria, nonché in sede
amministrativa o nelle procedure di arbitrato e di conciliazione nei casi
previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai
contratti collettivi, sempre che il diritto sia di rango pari a quello
dell'interessato, ovvero consistente in un diritto della personalità o in
altro diritto o libertà fondamentale e inviolabile, e i dati siano
trattati esclusivamente per tali finalità e per il periodo strettamente
necessario per il loro perseguimento; b) adempiere o esigere l'adempimento di specifici obblighi o
per eseguire specifici compiti previsti dalla normativa comunitaria, da
leggi, da regolamenti o da contratti collettivi per la gestione del
rapporto di lavoro, nonché della normativa in materia di previdenza e
assistenza o in materia di igiene e sicurezza del lavoro o della
popolazione, nei limiti previsti dalla autorizzazione
generale del Garante n. 1/2004 e ferme restando le
disposizioni del codice di deontologia e di buona condotta di cui all'articolo
111 del Codice.
2) Categorie di dati oggetto di
trattamento Prima di iniziare o proseguire il trattamento i sistemi
informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art.
3 del Codice. Il trattamento può avere per oggetto i dati strettamente
pertinenti ai sopra indicati obblighi, compiti o finalità che non possano
essere adempiuti o realizzati, caso per caso, mediante il trattamento di
dati anonimi o di dati personali di natura diversa, e può comprendere le
informazioni relative a stati di salute pregressi. Devono essere considerate sottoposte all'ambito di applicazione
della presente autorizzazione anche le informazioni relative ai nascituri,
che devono essere trattate alla stregua dei dati personali in conformità
a quanto previsto dalla citata raccomandazione N. R (97) 5 del
Consiglio d'Europa. 3) Modalità di trattamento Fermi restando gli obblighi previsti dagli articoli
11 e
14 del
Codice, nonché dagli articoli 31 e
seguenti del Codice e dall'Allegato
B) al medesimo Codice, il trattamento dei dati sensibili
deve essere effettuato unicamente con operazioni, nonché con logiche e
mediante forme di organizzazione dei dati strettamente indispensabili in
rapporto ai sopra indicati obblighi, compiti o finalità. I dati sono raccolti, di regola, presso l'interessato. La comunicazione di dati all'interessato deve avvenire di
regola direttamente a quest'ultimo o a un suo delegato (fermo restando
quanto previsto dall'art.
84, comma 1, del Codice), in plico chiuso o con altro mezzo
idoneo a prevenire la conoscenza da parte di soggetti non autorizzati,
anche attraverso la previsione di distanze di cortesia. Per le informazioni relative ai nascituri, il consenso è
prestato dalla gestante. Dopo il raggiungimento della maggiore età
l'informativa è fornita all'interessato anche ai fini della acquisizione
di una nuova manifestazione del consenso quando questo è necessario (art.
82, comma 4, del Codice). 4) Conservazione dei dati Nel quadro del rispetto dell'obbligo previsto dall'art.
11, comma 1, lett. e) del Codice, i dati possono essere
conservati per un periodo non superiore a quello necessario per adempiere
agli obblighi o ai compiti sopra indicati, ovvero per perseguire le
finalità ivi menzionate. A tal fine, anche mediante controlli periodici,
deve essere verificata costantemente la stretta pertinenza, non eccedenza
e indispensabilità dei dati rispetto al rapporto, alla prestazione o
all'incarico in corso, da instaurare o cessati, anche con riferimento ai
dati che l'interessato fornisce di propria iniziativa. I dati che, anche a
seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili non possono essere utilizzati, salvo che per l'eventuale
conservazione, a norma di legge, dell'atto o del documento che li
contiene. Specifica attenzione è prestata per l'indispensabilità dei
dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente
le prestazioni e gli adempimenti. 5) Comunicazione
e diffusione dei dati I dati idonei a rivelare lo stato di salute, esclusi i dati
genetici, possono essere comunicati, nei limiti strettamente pertinenti
agli obblighi, ai compiti e alle finalità di cui al punto 1), a soggetti
pubblici e privati, ivi compresi i fondi e le casse di assistenza
sanitaria integrativa, le aziende che svolgono attività strettamente
correlate all'esercizio di professioni sanitarie o alla fornitura
all'interessato di beni, di prestazioni o di servizi, gli istituti di
credito e le imprese assicurative, le associazioni od organizzazioni di
volontariato e i familiari dell'interessato. Ai sensi degli artt. 22,
comma 8, e 26,
comma 5, del Codice, i dati idonei a rivelare lo stato di
salute non possono essere diffusi. I dati idonei a rivelare la vita sessuale non possono essere
diffusi, salvo il caso in cui la diffusione riguardi dati resi
manifestamente pubblici dall'interessato e per i quali l'interessato
stesso non abbia manifestato successivamente la sua opposizione per motivi
legittimi. 6) Richieste di autorizzazione I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a presentare
una richiesta di autorizzazione a questa Autorità, qualora il trattamento
che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno
anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo. Il Garante non prenderà in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformità alle
prescrizioni del presente provvedimento, salvo che, ai sensi dell'art.
41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione, relative, ad esempio, al caso
in cui la raccolta del consenso comporti un impiego di mezzi
manifestamente sproporzionato in ragione, in particolare, del numero di
persone interessate. 7) Norme finali Restano fermi gli obblighi previsti da norme di legge o di
regolamento o dalla normativa comunitaria che stabiliscono divieti o
limiti più restrittivi in materia di trattamento di dati personali e, in
particolare: a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135,
come modificato dall'art.
178 del Codice, secondo cui la rilevazione statistica
della infezione da HIV deve essere effettuata con modalità che non
consentano l'identificazione della persona; b) dall'art. 11 della legge 22 maggio 1978, n. 194, il quale
dispone che l'ente ospedaliero, la casa di cura o il poliambulatorio nei
quali è effettuato un intervento di interruzione di gravidanza devono
inviare al medico provinciale competente per territorio una dichiarazione
che non faccia menzione dell'identità della donna; c) dall'art. 734-bis del codice penale, il quale vieta la
divulgazione non consensuale delle generalità o dell'immagine della
persona offesa da atti di violenza sessuale. Restano altresì fermi gli obblighi di legge che vietano la
rivelazione senza giusta causa e l'impiego a proprio o altrui profitto
delle notizie coperte dal segreto professionale, nonché gli obblighi
deontologici previsti, in particolare, dal Codice di deontologia medica
adottato dalla Federazione nazionale degli ordini dei medici chirurghi e
degli odontoiatri. Resta ferma, infine, la possibilità di diffondere dati anonimi
anche aggregati e di includerli, in particolare, nelle pubblicazioni a
contenuto scientifico o finalizzate all'educazione, alla prevenzione o
all'informazione di carattere sanitario. 8) Efficacia temporale e disciplina
transitoria La presente autorizzazione ha efficacia a decorrere dal 1°
luglio 2004 fino al 30 giugno 2005. Qualora alla data della pubblicazione della presente
autorizzazione il trattamento non sia già conforme alle prescrizioni non
contenute nella precedente autorizzazione
n. 2/2002, il titolare deve adeguarsi ad esse entro il 30
settembre 2004. La presente autorizzazione sarà pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |
|
|
|
|
|
|
|
|
Autorizzazione n. 3 del 2004 al trattamento dei dati sensibili
da parte degli organismi di tipo associativo e delle fondazioni IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI In data odierna, con la partecipazione del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof.
Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni
Buttarelli, segretario generale; Visto il decreto
legislativo 30 giugno 2003, n. 196, recante il Codice in
materia di protezione dei dati personali; Visto, in particolare, l'art.
4, comma 1, lett. d), del citato Codice, il quale individua i
dati sensibili; Considerato che, ai sensi dell'art.
26, comma 1, del Codice i soggetti privati e gli enti pubblici
economici possono trattare i dati sensibili solo previa autorizzazione di
questa Autorità e, ove necessario, con il consenso scritto degli
interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal
Codice, nonché dalla legge e dai regolamenti; Visto altresì il comma
4, lett. a), del citato art. 26, il quale stabilisce che i dati
sensibili possono essere oggetto di trattamento anche senza consenso,
previa autorizzazione del Garante, "quando il trattamento è
effettuato da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, a carattere politico, filosofico, religioso o sindacale,
ivi compresi partiti e movimenti politici, per il perseguimento di scopi
determinati e legittimi individuati dall'atto costitutivo, dallo statuto o
dal contratto collettivo, relativamente ai dati personali degli aderenti o
dei soggetti che in relazione a tali finalità hanno contatti regolari con
l'associazione, ente od organismo, sempre che i dati non siano comunicati
all'esterno o diffusi e l'ente, associazione od organismo determini idonee
garanzie relativamente ai trattamenti effettuati, prevedendo espressamente
le modalità di utilizzo dei dati con determinazione resa nota agli
interessati all'atto dell'informativa ai sensi dell'articolo
13"; Visto il comma
3, lettere a) e b), del predetto art. 26, il quale stabilisce
che la disciplina di cui al relativo comma 1 non si applica al
trattamento: a) dei dati relativi agli aderenti alle confessioni religiose
e ai soggetti che con riferimento a finalità di natura esclusivamente
religiosa hanno contatti regolari con le medesime confessioni, effettuato
dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i
dati non siano diffusi o comunicati fuori delle medesime confessioni; b)
dei dati riguardanti l'adesione di associazioni od organizzazioni a
carattere sindacale o di categoria ad altre associazioni, organizzazioni o
confederazioni a carattere sindacale o di categoria; Rilevato che le confessioni di cui alla lettera a) devono
determinare, ai sensi del medesimo art.
26, comma 3, lett. a), idonee garanzie relativamente ai
trattamenti effettuati, nel rispetto dei principi indicati al riguardo con
autorizzazione del Garante; Visto l'art.
181, comma 6, del Codice secondo cui le confessioni religiose
che, prima dell'adozione del medesimo Codice, abbiano determinato e
adottato nell'ambito del rispettivo ordinamento le garanzie di cui al
predetto art.
26, comma 3, lett. a), possono proseguire l'attività di
trattamento nel rispetto delle medesime; Considerato che il trattamento dei dati in questione può
essere autorizzato dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art.
40, del Codice); Considerato che le autorizzazioni di carattere generale sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresì superflua la
richiesta di singoli provvedimenti di autorizzazione da parte di numerosi
titolari del trattamento; Ritenuto opportuno, dopo l'entrata in vigore del Codice,
rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il
30 giugno 2004, armonizzando le prescrizioni già impartite alla luce
dell'esperienza maturata; Ritenuto opportuno che anche tali nuove autorizzazioni siano
provvisorie e a tempo determinato, ai sensi dall'art.
41, comma 5, del Codice, e, in particolare, efficaci per il
periodo di dodici mesi, in relazione alla fase di prima applicazione delle
nuove disposizioni del Codice; Considerata la necessità di garantire il rispetto di alcuni
principi volti a ridurre al minimo i rischi di danno o di pericolo che i
trattamenti potrebbero comportare per i diritti e le libertà
fondamentali, nonché per la dignità delle persone, e in particolare, per
il diritto alla protezione dei dati personali sancito all'art.
1 del Codice; Considerato che un elevato numero di trattamenti di dati
sensibili è effettuato da enti ed organizzazioni di tipo associativo e da
fondazioni, per la realizzazione di scopi determinati e legittimi
individuati dall'atto costitutivo, dallo statuto o da un contratto
collettivo; Visto l'art.
167 del Codice; Visto l'art.
11, comma 2, del Codice, il quale stabilisce che i dati
trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati; Visti gli articoli
31 e seguenti del Codice e il disciplinare tecnico di cui
all'Allegato
B al medesimo Codice recanti norme e regole sulle misure
di sicurezza; Visto l'art.
41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art.
15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan; Autorizza il trattamento dei dati sensibili di cui art.
4, comma 1, lett. d), del Codice da parte di associazioni,
fondazioni, comitati ed altri organismi di tipo associativo, secondo le
prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento i sistemi
informativi e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare l'interessato solo in
caso di necessità, in conformità all'art.
3 del Codice. 1) Ambito di applicazione La presente autorizzazione è rilasciata: a) alle associazioni anche non riconosciute, ai partiti e i
movimenti politici, alle associazioni e alle organizzazioni sindacali, ai
patronati e alle associazioni di categoria, alle casse di previdenza, alle
organizzazioni assistenziali o di volontariato, nonché le federazioni e
confederazioni nelle quali tali soggetti sono riuniti in conformità, ove
esistenti, allo statuto, all'atto costitutivo o ad un contratto
collettivo; b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio
od organismo senza scopo di lucro, dotati o meno di personalità
giuridica, ivi comprese le organizzazioni non lucrative di utilità
sociale (Onlus); c) alle cooperative sociali e alle società di mutuo soccorso
di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile
1886, n. 3818. L'autorizzazione è rilasciata altresì agli istituti
scolastici anche di tipo non associativo, limitatamente al trattamento dei
dati idonei a rivelare le convinzioni religiose e per le operazioni
strettamente necessarie per l'applicazione dell'articolo 310 del decreto
legislativo 16 aprile 1994, n. 297. Resta fermo l'obbligo per le confessioni religiose di
determinare, ai sensi dell'art.
26, comma 3, lett. a) del Codice, idonee garanzie
relativamente ai trattamenti effettuati, nel rispetto dei principi
indicati con la presente autorizzazione. Ai sensi dell'art.
181, comma 6, del Codice, le confessioni religiose che, prima
dell'adozione del medesimo Codice, abbiano determinato e adottato
nell'ambito del rispettivo ordinamento le garanzie di cui all'art.
26, comma 3, lett. a), del Codice possono proseguire l'attività
di trattamento effettuato dai relativi organi, ovvero da enti civilmente
riconosciuti, nel rispetto delle medesime. 2) Finalità del trattamento L'autorizzazione è rilasciata per il perseguimento di scopi
determinati e legittimi individuati dall'atto costitutivo, dallo statuto o
dal contratto collettivo, ove esistenti, e in particolare per il
perseguimento di finalità culturali, religiose, politiche, sindacali,
sportive o agonistiche di tipo non professionistico, di istruzione anche
con riguardo alla libertà di scelta dell'insegnamento religioso, di
formazione, di ricerca scientifica, di patrocinio, di tutela dell'ambiente
e delle cose d'interesse artistico e storico, di salvaguardia dei diritti
civili, nonché di beneficenza, assistenza sociale o socio-sanitaria. La presente autorizzazione è rilasciata, altresì, per far
valere o difendere un diritto anche da parte di un terzo in sede
giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato
e di conciliazione nei casi previsti dalla normativa comunitaria, dalle
leggi, dai regolamenti o dai contratti collettivi. La presente
autorizzazione è rilasciata inoltre per l'esercizio del diritto di
accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle
leggi e dai regolamenti in materia. Per i fini predetti, il trattamento dei dati sensibili può
riguardare anche la tenuta di registri e scritture contabili, di elenchi,
di indirizzari e di altri documenti necessari per la gestione
amministrativa dell'associazione, della fondazione, del comitato o del
diverso organismo, o per l'adempimento di obblighi fiscali, ovvero per la
diffusione di riviste, bollettini e simili. Qualora i soggetti di cui alle lettere a), b) e c) si avvalgano
di persone giuridiche o di altri organismi con scopo di lucro o di liberi
professionisti per perseguire le predette finalità, ovvero richiedano ad
essi la fornitura di beni, prestazioni o servizi, la presente
autorizzazione è rilasciata anche ai medesimi organismi, persone
giuridiche o liberi professionisti. I soggetti di cui alle lettere a), b) e c) possono comunicare
alle persone giuridiche e agli organismi con scopo di lucro titolari di un
autonomo trattamento, i soli dati sensibili strettamente indispensabili
per le attività di effettivo ausilio alle predette finalità, con
particolare riferimento alle generalità degli interessati e ad
indirizzari, sulla base di un atto scritto che individui con precisione le
informazioni comunicate, le modalità del successivo utilizzo, le
particolari misure di sicurezza, nonché, ove previsto, le idonee garanzie
determinate. La dichiarazione scritta di consenso degli interessati deve
porre tale circostanza in particolare evidenza e deve recare la precisa
menzione dei titolari del trattamento e delle finalità da essi
perseguite. Le persone giuridiche e gli organismi con scopo di lucro,
oltre a quanto previsto nei punti 4) e 6) in tema di pertinenza, non
eccedenza e indispensabilità dei dati, possono trattare i dati così
acquisiti solo per scopi di ausilio alle finalità predette, ovvero per
scopi amministrativi e contabili. 3) Interessati ai quali i dati si
riferiscono Il trattamento può riguardare i dati sensibili attinenti: a) agli associati, ai soci e, se strettamente indispensabile
per il perseguimento delle finalità di cui al punto 1), ai relativi
familiari e conviventi; b) agli aderenti, ai sostenitori o sottoscrittori, nonché ai
soggetti che presentano richiesta di ammissione o di adesione o che hanno
contatti regolari con l'associazione, la fondazione o il diverso
organismo; c) ai soggetti che ricoprono cariche sociali o onorifiche; d) ai beneficiari, agli assistiti e ai fruitori delle attività
o dei servizi prestati dall'associazione o dal diverso organismo,
limitatamente ai soggetti individuabili in base allo statuto o all'atto
costitutivo, ove esistenti; e) agli studenti iscritti o che hanno presentato domanda di
iscrizione agli istituti di cui al punto 1) e, qualora si tratti di
minori, ai loro genitori o a chi ne esercita la potestà; f) ai lavoratori dipendenti degli associati e dei soci,
limitatamente ai dati idonei a rivelare l'adesione a sindacati,
associazioni od organizzazioni a carattere sindacale e alle operazioni
necessarie per adempiere a specifici obblighi derivanti da contratti
collettivi anche aziendali. 4) Categorie di dati oggetto di
trattamento L'autorizzazione non riguarda i dati idonei a rivelare lo stato
di salute e la vita sessuale, ai quali si riferisce l'autorizzazione
generale n. 2/2004. Il trattamento può avere per oggetto gli altri dati sensibili
di cui all'articolo
4, comma 1, lettera d) del Codice, idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico
o sindacale. Il trattamento può riguardare i dati e le operazioni
indispensabili per perseguire le finalità di cui al punto 1) o, comunque,
per adempiere ad obblighi derivanti dalla legge, dalla normativa
comunitaria, dai regolamenti o dai contratti collettivi, che non possano
essere perseguite o adempiuti, caso per caso, mediante il trattamento di
dati anonimi o di dati personali di natura diversa. A tal fine, anche mediante controlli periodici, deve essere
verificata costantemente la stretta pertinenza, non eccedenza e
indispensabilità dei dati rispetto ai predetti obblighi e finalità, in
particolare per quanto riguarda i dati che rivelano le opinioni e le
intime convinzioni, anche con riferimento ai dati che l'interessato
fornisce di propria iniziativa. I dati che, anche a seguito delle
verifiche, risultano eccedenti o non pertinenti o non indispensabili non
possono essere utilizzati, salvo per l'eventuale conservazione, a norma di
legge, dell'atto o del documento che li contiene. 5) Modalità di trattamento Fermi restando gli obblighi previsti dagli articoli
11 e
14 del
Codice, dagli articoli 31 e
seguenti del Codice e dall'allegato
B) al medesimo Codice, il trattamento dei dati sensibili
deve essere effettuato unicamente con operazioni, nonché con logiche e
mediante forme di organizzazione dei dati strettamente indispensabili in
rapporto alle finalità, agli scopi e agli obblighi di cui al punto 2). I dati sono raccolti, di regola, presso l'interessato. Fermo restando quanto previsto ai punti 2) e 7) della presente
autorizzazione, se è indispensabile, in conformità al medesimo punto 7)
comunicare o diffondere dati all'esterno dell'associazione, della
fondazione, del comitato o del diverso organismo, il consenso scritto è
acquisito previa idonea informativa resa agli interessati ai sensi dell'art.
13 del Codice, la quale deve precisare le specifiche
modalità di utilizzo dei dati tenuto conto delle idonee garanzie adottate
relativamente ai trattamenti effettuati. 6) Conservazione dei dati Nel quadro del rispetto dell'obbligo previsto dall'art.
11, comma 1, lett. e) del Codice, i dati sensibili possono
essere conservati per un periodo non superiore a quello necessario per
perseguire le finalità e gli scopi di cui al punto 2), ovvero per
adempiere agli obblighi ivi menzionati. Le verifiche di cui al punto 4) devono riguardare anche la
pertinenza, non eccedenza e indispensabilità dei dati rispetto
all'attività svolta dall'interessato o al rapporto che intercorre tra
l'interessato e i soggetti di cui al punto 1), tenendo presente il genere
di prestazione, di beneficio o di servizio offerto all'interessato e la
posizione di quest'ultimo rispetto ai soggetti stessi. 7) Comunicazione e diffusione dei dati I dati sensibili possono essere comunicati a soggetti pubblici
o privati, e ove necessario diffusi, solo se strettamente pertinenti alle
finalità, agli scopi e agli obblighi di cui al punto 2) e tenendo
presenti le altre prescrizioni sopraindicate. I dati sensibili possono essere comunicati alle autorità
competenti se necessario per finalità di prevenzione, accertamento o
repressione dei reati, con l'osservanza delle norme che regolano la
materia. I dati relativi allo stato di salute e alla vita sessuale non
possono essere diffusi. 8) Richieste di autorizzazione I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a presentare
una richiesta di autorizzazione a questa Autorità, qualora il trattamento
che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno
anche successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento medesimo. Il Garante non prenderà in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformità alle
prescrizioni del presente provvedimento, salvo che, ai sensi dell'art.
41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione. 9) Norme finali Restano fermi gli obblighi previsti dalla normativa
comunitaria, da norme di legge o di regolamento che stabiliscono divieti o
limiti in materia di trattamento di dati personali. Restano inoltre ferme le norme volte a prevenire
discriminazioni, e in particolare le disposizioni contenute nel
decreto-legge 26 aprile 1993, n. 122, convertito, con modificazioni, dalla
legge 25 giugno 1993, n. 205, in materia di discriminazione per motivi
razziali, etnici, nazionali o religiosi e di delitti di genocidio. 10) Efficacia temporale e disciplina
transitoria La presente autorizzazione ha efficacia a decorrere dal 1°
luglio 2004 fino al 30 giugno 2005. Qualora alla data della pubblicazione della presente
autorizzazione il trattamento non sia già conforme alle prescrizioni non
contenute nella precedente autorizzazione
n. 3/2002, il titolare deve adeguarsi ad esse entro il 30
settembre 2004. La presente autorizzazione sarà pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |
|
|
