CATEGORIE E REQUISITI DEI DATI PERSONALI - Dati sensibili - Profili generali
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
A seguito dell´entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trattare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rivelare lo stato d´invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoli adempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento dei compiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le amministrazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sono tenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, individuando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenziale menzionare in tutto o in parte alcune informazioni sullo stato di salute.
In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono compiere sui dati sensibili soltanto le operazioni di trattamento - incluse la raccolta e la comunicazione - strettamente necessarie per perseguire i singoli scopi, verificando anche periodicamente la pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessità rispetto alle finalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lo stato di salute o la vita sessuale devono essere conservati separatamente da ogni altro dato personale trattato per finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati, elenchi o registri non cartacei, al pari degli altri dati sensibili debbono essere trattati con tecniche di cifratura o mediante l´utilizzazione di codici identificativi o di altri sistemi che, tenuto conto del numero e della natura dei dati trattati, permettono di identificare gli interessati solo in caso di necessità.
Il d.lg. n. 135/1999 ha considerato le finalità di elargizione di contributi previsti dalla normativa in materia di usura e antiracket fra quelle di rilevante interesse pubblico, per le quali è consentito il trattamento di dati sensibili da parte di soggetti pubblici.
Ai sensi dell´art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili, dell´art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il trattamento dei dati personali effettuato dal Consiglio della Provincia autonoma di Trento in relazione alla nomina o designazione di componenti di altri organismi, di competenza diretta dello stesso Consiglio o mediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l´obbligo del rispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativa all´interessato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimità dei dati (art. 9).
I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richiedere il consenso degli interessati e l´autorizzazione del Garante per poter trattare dati sensibili ma, ai sensi dell´art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999, devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifichino i tipi dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite (principio espresso in risposta a un quesito posto da una pubblica amministrazione relativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rapporto di lavoro).
I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, non devono acquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quanto per essi le garanzie in favore degli interessati debbono essere basate non sul consenso ma su una puntuale disposizione di legge che specifichi i tipi dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.
Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibili nell´esercizio dell´attività di giornalista ha lasciato inalterata l´esigenza del rispetto, soprattutto in ordine all´essenzialità dell´informazione rispetto a fatti di interesse pubblico, di alcuni limiti posti al diritto di cronaca a tutela della riservatezza, suscettibili d´integrazione da parte del codice deontologico di settore, previsto dall´art. 25 della legge.
Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico i comuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né il consenso scritto dei singoli interessati né l´autorizzazione preventiva del Garante, essendo sufficiente, ai sensi dell´art. 22, comma 3 della legge n. 675/1996, l´esistenza di un´espressa disposizione di legge che, nell´autorizzare il trattamento, specifichi i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità d´interesse pubblico perseguite.
Nelle autorizzazioni generali il Garante ha disposto di non prendere in considerazione richieste di autorizzazione al trattamento di dati sensibili da effettuarsi in difformità dalle prescrizioni contenute nelle medesime autorizzazioni generali, salvo che il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nelle autorizzazioni stesse (nella specie, il Garante ha accolto la richiesta di un´azienda limitatamente all´autorizzazione a trattare, a precise condizioni, i dati sensibili, diversi da quelli idonei rivelare lo stato di salute e la vita sessuale, ai soli fini della gestione degli ordini dei clienti).
Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisire il consenso degli interessati o rispettare l´autorizzazione del Garante, ma debbono piuttosto attenersi al disposto dell´art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dal d.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse disposizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.
Nell’individuare i tipi di dati sensibili e le operazioni di trattamento strettamente pertinenti e necessarie in relazione alle finalità di rilevante interesse pubblico specificamente individuate dal d.lg. n. 135/1999, dal provvedimento del Garante (n. 1/P/2000 del 30 dicembre 1999 - 13 gennaio 2000, in G.U. n. 26 del 2 febbraio 2000) o da altro idoneo strumento normativo, i soggetti pubblici debbono prescegliere atti che integrino una fonte di rango quantomeno regolamentare.
I dati personali relativi ad operazioni di finanziamento detenuti negli archivi di una "centrale rischi" privata non appartengono alla categoria dei dati sensibili, che sono specificamente indicati nell’art. 22, comma 1, della legge n. 675/1996.
Il Garante, specificamente richiesto, ha autorizzato una società editrice al trattamento di dati sensibili nell´ambito della prestazione su Internet, attraverso siti e pagine web relative alle testate giornalistiche gestite dalla stessa società, di un servizio di consulenza denominato "Esperti on-line", consistente nella fornitura a pagamento di risposte da parte di esperti di diversi settori a domande formulate dagli utenti. L´Autorità ha autorizzato il trattamento subordinandolo a particolari condizioni, e limitatamente agli eventuali dati occasionalmente e spontaneamente conferiti dagli interessati nell´ambito della formulazione dei quesiti ed alle operazioni strettamente indispensabili a permettere l´esame dei quesiti da parte degli esperti. Il rilascio della specifica autorizzazione si è reso necessario in quanto la fattispecie riguarda un trattamento di dati sensibili, diversi da quelli idonei a rivelare lo stato di salute e la vita sessuale (che rimangono disciplinati dalle pertinenti disposizioni dell´autorizzazione generale n. 2/2002], non espressamente previsto dalle autorizzazioni generali emanate dal Garante.
Rispetto all´accesso a documenti contenenti anche dati di terzi, la legge n. 675/1996 non ha comportato l´abrogazione della disciplina sull´accesso ai documenti amministrativi - posta dalla legge n. 241/1990 -, la cui applicabilità, anche in caso di documenti contenenti dati sensibili, è stata anzi confermata da disposizioni successive (d.lg. n. 135/1999, in specie art. 16] che, in riferimento ai soggetti pubblici, ha individuato come di "rilevante interesse pubblico" i trattamenti di dati effettuati, tra l´altro, "in conformità alle leggi e ai regolamenti per l´applicazione della disciplina sull´accesso ai documenti amministrativi".
I soggetti pubblici e privati, destinatari della richiesta di accesso a dati – e, per quanto riguarda i soggetti pubblici, anche ai documenti amministrativi che li contengono – riguardanti la salute o la vita sessuale di terzi, debbono valutare se il diritto da far valere o difendere in sede contenziosa posto a base della richiesta sia di rango almeno pari a quello della persona cui si riferiscono i dati. Nel valutare il "rango" del diritto del terzo, detti soggetti debbono utilizzare come parametro di raffronto non il "diritto di azione e difesa", che pure è costituzionalmente garantito, quanto il diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere. Come precisato dal d.lg. n. 196/2003 (Codice in materia di protezione dei dati personali], tale sottostante diritto può esser ritenuto di "pari rango", giustificando quindi l´accesso o la comunicazione dei dati, solo se fa parte dei diritti della personalità o è compreso tra altri diritti o libertà fondamentali ed inviolabili. Ogni altro diritto, o interesse legittimo, del terzo deve essere considerato subvalente rispetto alla concorrente necessità di tutelare la riservatezza, la dignità e gli altri diritti fondamentali dell´interessato. Il riferimento ai diritti della personalità e ad altri diritti e libertà fondamentali è collegato ad un "elenco aperto" di posizioni soggettive individuabile in chiave storico-evolutiva, e presuppone una valutazione in concreto, non poggiante su una astratta scala gerarchica dei diritti in contesa.
I soggetti pubblici e privati, destinatari della richiesta di accesso a dati – e, per quanto riguarda i soggetti pubblici, anche ai documenti amministrativi che li contengono – riguardanti la salute o la vita sessuale di terzi, non debbono circoscrivere la valutazione sull´istanza di accesso o di comunicazione alla sola considerazione se il diritto da far valere o difendere in sede contenziosa, posto a base dell´istanza, sia di rango almeno pari a quello della persona cui si riferiscono i dati, ma debbono basarsi anche sull´ulteriore verifica volta ad appurare se i dati o tutti i dati personali oggetto della richiesta siano effettivamente "necessari", pertinenti e non eccedenti al fine di far valere o difendere i diritti ritenuti equivalenti.
Fonte: Autorità Garante - Massime tratte dai volumi:
"Massimario 1997 - 2001. I principi affermati dal Garante nei primi cinque anni di attività" | "Massimario 2002" | "Massimario 2003