Privacy semplificata per alcune categorie di soggetti.
G.U. n. 287 del 9 dicembre 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali e, in particolare, le disposizioni riguardanti la notificazione del trattamento (artt. 37 ss. d.lg. 30 giugno 2003, n. 196);
VISTO l'art. 29 del decreto-legge 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n. 133, con il quale è stato, fra l'altro, modificato l'art. 38 del Codice;
CONSIDERATO che la notificazione è validamente effettuata solo se è trasmessa attraverso il sito dell'Autorità (http://www.garanteprivacy.it) utilizzando l'apposito modello predisposto dal Garante (art. 38 del Codice, come modificato dal citato art. 29 del d.l. n. 112/2008);
CONSIDERATO che tale modello deve contenere soltanto alcune tipologie di informazioni riguardanti il trattamento da notificare, specificamente indicate nella normativa ora richiamata;
RITENUTA l'esigenza di adeguare il predetto modello per la notificazione, nonché le relative istruzioni, in modo da introdurre, nei riguardi dei soggetti tenuti a tale adempimento ulteriori semplificazioni rispetto a quelle in passato già introdotte dal Garante;
RILEVATA l'esigenza che detto modello, unitamente alle relative istruzioni, sia facilmente reperibile sul sito Internet dell'Autorità (http://www.garanteprivacy.it), attraverso il quale deve essere trasmessa la notificazione;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Giuseppe Chiaravalloti;
PREMESSO
Il presente provvedimento ha lo scopo di introdurre talune semplificazioni al modello utilizzato per effettuare le notificazioni al Garante, ulteriori rispetto a quelle già in passato introdotte da questa Autorità. Risulta a tal fine opportuno richiamare preliminarmente alcune caratteristiche della notificazione.
1) Contenuto della notificazione al Garante
La notificazione è una dichiarazione con la quale un soggetto pubblico o privato, titolare del trattamento, rende nota al Garante l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali. Essa deve contenere unicamente le seguenti tipologie di informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonché le modalità per individuare il responsabile del trattamento se designato;
b) la o le finalità del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
Una volta ricevute, le notificazioni sono inserite in un registro pubblico consultabile gratuitamente da chiunque on-line.
2) Casi nei quali la notificazione è dovuta
In termini generali, la notificazione è dovuta per disposizione di legge esclusivamente da soggetti che effettuano trattamenti riguardanti:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
La notificazione relativa al trattamento dei dati sopra menzionati non è tuttavia dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è considerata tipica del loro rapporto professionale con il Servizio sanitario nazionale (art. 37, comma 1-bis, del Codice).
Va altresì tenuto conto che questa Autorità ha disposto in base alla legge alcuni esoneri dall'obbligo di notificazione nei riguardi dei soggetti e dei trattamenti indicati in un'apposita deliberazione pubblicata sul menzionato sito Internet del Garante, accompagnata da utili chiarimenti in ordine a quesiti pervenuti (Provv. 31 marzo 2004 n. 1, in G.U. 6 aprile 2004, n. 81, nonché in www.garanteprivacy.it, doc. web n. 852561; nota 23 aprile 2004, ivi, doc. web n. 993385).
Non è dovuta la notificazione nei casi diversi da quelli indicati.
3) Momento in cui deve essere effettuata la notificazione
La notificazione deve essere presentata al Garante prima dell'inizio del trattamento e una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. Essa deve essere effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.
Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
Tutto ciò premesso, in attuazione della menzionata modifica normativa, vanno quindi introdotte alcune modifiche semplificative del modello di notificazione. Il modello semplificato sarà reso disponibile e operativo sul menzionato sito del Garante entro e non oltre sessanta giorni dalla data di pubblicazione del presente provvedimento, non appena soddisfatte le esigenze tecniche di adattamento del medesimo sito.
Pertanto, il Garante
DELIBERA:
- di introdurre talune semplificazioni al modello utilizzato per effettuare le notificazioni al Garante, approvando il nuovo modello di notificazione riportato nell'Allegato A che costituisce parte integrante del presente provvedimento e che sarà reso disponibile e operativo sul sito Internet del Garante (http://www.garanteprivacy.it) entro e non oltre i sessanta giorni dalla data di pubblicazione del presente provvedimento;
- di dare atto che l'introduzione del nuovo modello non comporta, per ciò stesso, l'obbligo di effettuare una nuova notificazione da parte dei soggetti che l'abbiano già effettuata;
- di disporre che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 22 ottobre 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Chiaravalloti
IL SEGRETARIO GENERALE
Buttarelli
Commenti