Terminata la procedura di revisione alla luce del nuovo Regolamento europeo delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore la precedente normativa. A conclusione della consultazione pubblica avviata lo scorso dicembre, l’Autorità ha adottato un provvedimento, in corso di pubblicazione sulla G.U., che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale. Le prescrizioni riguardano infatti il trattamento di queste categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.
Il provvedimento, adottato in base al decreto legislativo n.101 del 2018 che ha adeguato la normativa nazionale al Regolamento Ue, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione.
Nello stesso provvedimento l’Autorità ha precisato che l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell’art. 21 del dlgs. n.101/2018.
Viene chiarito, inoltre, che le autorizzazioni generali n. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni.
Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101
(In corso di pubblicazione sulla Gazzetta Ufficiale)
Registro dei provvedimenti
n. 146 del 5 giugno 2019
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;
VISTE le autorizzazioni generali adottate ai sensi degli artt. 26 e 40 del Codice;
CONSIDERATO che gli artt. 26 e 40 del Codice sono stati abrogati dall’art. 27, comma 1, lett. a), n. 2), del citato d.lgs. n. 101/2018;
CONSIDERATO che l’art. 21 del d.lgs. n. 101/2018, in attuazione delle disposizioni del Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo, altresì, al loro aggiornamento ove occorrente;
RITENUTO di dare attuazione al citato art. 21 del d.lgs. n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice;
RILEVATO che l’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel Regolamento e nel Codice (art. 10 Regolamento; 2-octies del Codice e art. 21 del d.lgs. n. 101/2018), ha cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione;
CONSIDERATO che a decorrere dal 25 maggio 2018 l’espressione “dati sensibili” si intende riferita alle categorie particolari di dati di cui al citato art. 9 del Regolamento (art. 22, comma 2, del d.lgs. n.101/2018);
VISTO l’art. 9 del Regolamento, che individua i presupposti per il trattamento dei dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. “categorie particolari di dati personali”, par. 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (par. 4);
RILEVATO che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali;
VISTO l´art. 2-decies, del Codice, secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall’art. 160-bis dello stesso Codice;
CONSIDERATO che, in base all’art. 21, comma 5, del d.lgs. n. 101/2018, la violazione delle prescrizioni contenute nel presente provvedimento generale sono soggette alla sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento;
VISTO il provvedimento generale del 13 dicembre 2018, n. 497 con il quale il Garante ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice;
VISTO che con il medesimo provvedimento il Garante ha deliberato, come richiesto dall’art. 21, comma 1, d. lgs. 101/2018, di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni che si è conclusa decorsi 60 giorni dalla data di pubblicazione del relativo avviso (G. U. n. 9 dell’11 gennaio 2019);
VISTE le osservazioni e le proposte pervenute al Garante inerenti ai risvolti applicativi del richiamato provvedimento prescrittivo da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento;
RITENUTO di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonché di armonizzarle nel contesto normativo vigente;
VISTO l’art. 170 del Codice come sostituito dall’art. 15, comma 1, lett. e), del d.lgs. n. 101/2018;
VISTI gli articoli 21, comma 5, del d.lgs. n. 101/2018 e 83, par. 5 del Regolamento;
VISTI gli atti d´ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX del Regolamento riportate nell’allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell’art. 21, comma 2, del d.lgs. n. 101/2018.
Roma, 5 giugno 2019
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia
1. Prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro (aut. gen. n. 1/2016)
I trattamenti dei dati personali nel contesto lavorativo, alla luce del quadro normativo delineato dal Regolamento (UE) 2016/679, sono considerati se effettuati da datori di lavoro sia pubblici che privati (cfr. art. 88 e 9, par. 2, lett. b), Regolamento UE 2016/679); ciò, diversamente dall’impianto del Codice anteriore alle modifiche del d.lgs. n. 101/2018.
1.1 Ambito di applicazione
Il presente provvedimento si applica nei confronti di tutti coloro che, a vario titolo (titolare/responsabile del trattamento), effettuano trattamenti per finalità d’instaurazione, gestione ed estinzione del rapporto di lavoro, in particolare:
a) agenzie per il lavoro e altri soggetti che, in conformità alla legge, svolgono, nell’interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale ivi compresi gli enti di formazione accreditati;
b) persone fisiche e giuridiche, imprese, anche sociali, enti, associazioni e organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 1.2, lettere c) e d);
c) organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa dell’Unione europea, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali;
d) rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;
e) soggetti che curano gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell’interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro;
f) associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi in materia di assistenza sindacale ai datori di lavoro;
g) medico competente in materia di salute e sicurezza sul lavoro, che opera in qualità di libero professionista o di dipendente del datore di lavoro o di strutture convenzionate.
1.2 Interessati ai quali i dati si riferiscono
Il presente provvedimento si applica ai trattamenti di categorie particolari di dati personali, acquisiti di regola direttamente presso l’interessato, riferiti a:
a) candidati all’instaurazione dei rapporti di lavoro, anche in caso di curricula spontaneamente trasmessi dagli interessati ai fini dell’instaurazione di un rapporto di lavoro (art. 111-bis del Codice);
b) lavoratori subordinati, anche se parti di un contratto di apprendistato, di formazione, a termine, di lavoro intermittente, di lavoro occasionale ovvero praticanti per l’abilitazione professionale, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione di lavoro, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari;
d) soggetti che svolgono collaborazioni organizzate dal committente, o altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti indicati nel precedente punto 1.1.;
e) persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi indicati nel precedente punto 1.1.;
f) terzi danneggiati nell’esercizio dell’attività lavorativa o professionale;
g) terzi (familiari o conviventi dei soggetti di cui alla precedente lett. b) e d) per il rilascio di agevolazioni e permessi.
1.3 Finalità del trattamento
Il trattamento delle categorie particolari di dati personali è effettuato solo se necessario (art.9, par. 2 Regolamento UE 2016/679):
a) per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa dell’Unione europea, da leggi, da regolamenti o da contratti collettivi anche aziendali, ai sensi del diritto interno, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro (art. 88 del Regolamento UE 2016/679), nonché del riconoscimento di agevolazioni ovvero dell’erogazione di contributi, dell’applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro, nonché in materia fiscale e sindacale;
b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell’incolumità fisica del lavoratore o di un terzo;
d) per far valere o difendere un diritto, anche da parte di un terzo, in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione, nei casi previsti dalle leggi, dalla normativa dell’Unione europea, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose; resta salvo quanto stabilito dall’art. 60 del Codice;
e) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di salute e sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
f) per garantire le pari opportunità nel lavoro;
g) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.
1.4 Prescrizioni specifiche relative alle diverse categorie di dati
1.4.1 Trattamenti effettuati nella fase preliminare alle assunzioni
a) le agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell’interesse proprio o di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale possono trattare i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati all’instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta sia giustificata da scopi determinati e legittimi e sia necessaria per instaurare tale rapporto;
b) il trattamento effettuato ai fini dell’instaurazione del rapporto di lavoro, sia attraverso questionari inviati anche per via telematica sulla base di modelli predefiniti, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di curricula, deve riguardare, nei limiti stabiliti dalle disposizioni richiamate dall’art. 113 del Codice, le sole informazioni strettamente pertinenti e limitate a quanto necessario a tali finalità, anche tenuto conto delle particolari mansioni e/o delle specificità dei profili professionali richiesti;
c) qualora nei curricula inviati dai candidati siano presenti dati non pertinenti rispetto alla finalità perseguita i soggetti di cui alla lettera a) o i datori di lavoro che effettuano la selezione devono astenersi dall’utilizzare tali informazioni;
d) i dati genetici non possono essere trattati al fine di stabilire l’idoneità professionale di un candidato all’impiego, neppure con il consenso dell’interessato.
1.4.2 Trattamenti effettuati nel corso del rapporto di lavoro
a) il datore di lavoro tratta dati che rivelano le convinzioni religiose o filosofiche ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico esclusivamente in caso di fruizione di permessi in occasione di festività religiose o per le modalità di erogazione dei servizi di mensa o, nei casi previsti dalla legge, per l’esercizio dell’obiezione di coscienza;
b) il datore di lavoro tratta dati che rivelano le opinioni politiche o l’appartenenza sindacale, o l’esercizio di funzioni pubbliche e incarichi politici, di attività o di incarichi sindacali esclusivamente ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali nonché per consentire l’esercizio dei diritti sindacali compreso il trattamento dei dati inerenti alle trattenute per il versamento delle quote di iscrizione ad associazioni od organizzazioni sindacali;
c) il datore di lavoro in caso di partecipazione di dipendenti ad operazioni elettorali in qualità di rappresentanti di lista, in applicazione del principio di necessità, non deve trattare nell’ambito della documentazione da presentare al fine del riconoscimento di benefici di legge, dati che rivelino le opinioni politiche (ad esempio, non deve essere richiesto il documento che designa il rappresentate di lista essendo allo scopo sufficiente la certificazione del presidente di seggio);
d) il datore di lavoro non può trattare dati genetici al fine di stabilire l’idoneità professionale di un dipendente, neppure con il consenso dell’interessato.
1.5 Prescrizioni specifiche relative alle modalità di trattamento
Con riferimento alle modalità di trattamento, si rappresenta quanto segue:
a) i dati devono essere raccolti, di regola, presso l’interessato;
b) in tutte le comunicazioni all’interessato che contengono categorie particolari di dati devono essere utilizzate forme di comunicazione anche elettroniche individualizzate nei confronti di quest’ultimo o di un suo delegato, anche per il tramite di personale autorizzato. Nel caso in cui si proceda alla trasmissione del documento cartaceo, questo dovrà essere trasmesso, di regola, in plico chiuso, salva la necessità di acquisire, anche mediante la sottoscrizione per ricevuta, la prova della ricezione dell’atto;
c) i documenti che contengono categorie particolari di dati, ove debbano essere trasmessi ad altri uffici o funzioni della medesima struttura organizzativa in ragione delle rispettive competenze, devono contenere esclusivamente le informazioni necessarie allo svolgimento della funzione senza allegare, ove non strettamente indispensabile, documentazione integrale o riportare stralci all’interno del testo. A tal fine dovranno essere selezionate e impiegate modalità di trasmissione della documentazione che ne garantiscano la ricezione e il relativo trattamento da parte dei soli uffici o strutture organizzative competenti e del solo personale autorizzato;
d) quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali (es. permessi sindacali o dati sanitari).
2. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (aut. gen. n. 3/2016)
2.1 Ambito di applicazione
Le prescrizioni di seguito indicate si applicano:
a) alle associazioni anche non riconosciute, ai partiti e ai movimenti politici, alle associazioni e alle organizzazioni sindacali, ai patronati e alle associazioni di categoria, alle casse di previdenza, alle organizzazioni assistenziali o di volontariato e, più in generale, del terzo settore, nonché alle federazioni e confederazioni nelle quali tali soggetti sono riuniti in conformità, ove esistenti, allo statuto, all’atto costitutivo o ad un contratto collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, ivi comprese le organizzazioni non lucrative di utilità sociale (Onlus);
c) alle cooperative sociali e alle società di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886, n. 3818;
d) agli istituti scolastici, limitatamente al trattamento dei dati che rivelino le convinzioni religiose e per le operazioni strettamente necessarie per l’applicazione degli articoli 310 e 311 del decreto legislativo 16 aprile 1994, n. 297 e degli artt. 3 e 10 del decreto legislativo 19 febbraio 2004, n. 59;
e) alle chiese, associazioni o comunità religiose.
2.2 Interessati ai quali i dati si riferiscono
Il trattamento può riguardare i dati particolari attinenti:
a) agli associati, ai soci e, se strettamente indispensabile per il perseguimento delle finalità perseguite, ai relativi familiari e conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunità religiose;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attività o dei servizi prestati dall’associazione o da enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunità religiose, limitatamente ai soggetti individuabili in base allo statuto o all’atto costitutivo, ove esistenti, o comunque a coloro nell’interesse dei quali i soggetti menzionati al punto 2.1. possono operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di iscrizione agli istituti di cui al punto 2.1 lett. d) e, qualora si tratti di minori, ai loro genitori o a chi ne esercita la potestà;
f) ai lavoratori dipendenti degli associati e dei soci, limitatamente ai dati idonei a rivelare l’adesione a sindacati, associazioni od organizzazioni a carattere sindacale e alle operazioni necessarie per adempiere a specifici obblighi derivanti da contratti collettivi anche aziendali.
2.3 Finalità del trattamento
Il trattamento dei dati particolari può essere effettuato per il perseguimento di scopi determinati e legittimi individuati dalla legge, dall’atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione anche con riguardo alla libertà di scelta dell’insegnamento religioso, di formazione, di patrocinio, di tutela dell’ambiente e delle opere d’interesse artistico e storico, di salvaguardia dei diritti civili, di beneficenza, assistenza sociale o socio-sanitaria.
Il trattamento dei predetti dati può avere luogo, altresì, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa eurounitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
Il medesimo trattamento può inoltre essere effettuato per l’esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia, salvo quanto previsto dall’art. 60 del Codice, come novellato dal d.lgs. n. 101/2018.
Per i fini predetti, il trattamento dei dati di cui sopra può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa di enti e organizzazioni di tipo associativo, fondazioni, chiese e associazioni o comunità religiose nonché per l’adempimento di obblighi fiscali ovvero per la diffusione di riviste, bollettini e simili.
Qualora i soggetti indicati al punto 2.1 si avvalgano di persone giuridiche o di altri organismi con scopo di lucro o di liberi professionisti per perseguire le predette finalità, ovvero richiedano ad essi la fornitura di beni, prestazioni o servizi, gli stessi possono effettuare il trattamento dei dati in questione.
I soggetti di cui al predetto punto 2.1 possono comunicare alle persone giuridiche e agli organismi con scopo di lucro sopra indicati (qualora questi ultimi si configurino quali titolari di un autonomo trattamento) i soli dati particolari strettamente indispensabili per le attività di effettivo ausilio alle predette finalità, con particolare riferimento alle generalità degli interessati e a indirizzari, sulla base di un atto scritto che individui con precisione le informazioni comunicate, le modalità del successivo utilizzo e le particolari misure di sicurezza adottate. L’informativa da rendere agli interessati deve porre tale circostanza in particolare evidenza e deve recare la precisa menzione dei titolari del trattamento e delle finalità da essi perseguite. Le persone giuridiche e gli organismi con scopo di lucro possono trattare i dati così acquisiti solo per scopi di ausilio alle finalità predette, ovvero per scopi amministrativi e contabili.
2.4 Prescrizioni specifiche
I dati personali riferiti agli associati/aderenti possono essere comunicati agli altri associati/aderenti anche in assenza del consenso degli interessati, a condizione che la predetta comunicazione sia prevista – nell’ambito dell’autonomia privata rimessa a ciascun ente – dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalità di utilizzo dei dati siano rese note agli interessati in sede di rilascio dell’informativa ai sensi dell’art. 13 del Regolamento (UE) 2016/679.
In ogni caso, tenendo conto del rispetto dei principi di necessità, finalità e minimizzazione e dell’eventuale regolamentazione interna all’ente, laddove vengano in considerazione profili esclusivamente personali riferiti agli associati/aderenti, devono essere utilizzate forme di consultazione individualizzata con gli stessi, adottando ogni misura opportuna volta a prevenire un’indebita comunicazione di dati personali a soggetti diversi dal destinatario.
La comunicazione dei dati personali relativi agli associati/aderenti all’esterno dell’ente e la loro diffusione possono essere effettuate con il consenso degli interessati, previa informativa agli stessi in ordine alla tipologia di destinatari e alle finalità della trasmissione e purché i dati siano strettamente pertinenti alle finalità ed agli scopi perseguiti.
I dati particolari possono essere comunicati alle autorità competenti per finalità di prevenzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia.
3. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati (aut. gen. n. 6/2016).
3.1 Ambito di applicazione
Le presenti prescrizioni sono dirette alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli organismi che esercitano un’attività di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni).
3.2 Finalità del trattamento
Il trattamento delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento (UE) 2016/679 può essere effettuato unicamente per l’espletamento dell’incarico ricevuto dai soggetti di cui al punto 3.1 e in particolare:
a) per permettere a chi conferisce uno specifico incarico, di fare accertare, esercitare o difendere un proprio diritto in sede giudiziaria che, quando concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona, deve essere di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero consistere in un diritto della personalità o in un altro diritto o libertà fondamentale;
b) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell’esercizio del diritto alla prova (art. 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397).
3.3 Prescrizioni specifiche
Gli investigatori privati non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di dati. Tali attività possono essere eseguite esclusivamente sulla base di un apposito incarico conferito per iscritto, anche da un difensore, per le esclusive finalità di cui al punto 3.2.
L’atto di incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l’investigazione è collegata, nonché i principali elementi di fatto che giustificano l’investigazione e il termine ragionevole entro cui questa deve essere conclusa.
Deve essere fornita all’interessato l’informativa di cui agli articoli 13 e 14 del Regolamento (UE) 2016/679, salvo, nel caso in cui i dati personali non siano stati ottenuti presso l’interessato, che questa rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento.
Il difensore o il soggetto che ha conferito l’incarico devono essere informati periodicamente dell’andamento dell’investigazione.
L’investigatore privato deve eseguire personalmente l’incarico ricevuto e non può avvalersi di altri investigatori non indicati nominativamente all’atto del conferimento dell’incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell’atto di incarico.
Una volta conclusa la specifica attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico i quali possono consentire, anche in sede di mandato, l’eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, ai soli fini dell’eventuale dimostrazione della liceità e correttezza del proprio operato. Se è stato contestato il trattamento il difensore o il soggetto che ha conferito l’incarico possono anche fornire all’investigatore il materiale necessario per dimostrare la liceità e correttezza del proprio operato, per il tempo a ciò strettamente necessario.
La sola pendenza del procedimento al quale l’investigazione è collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per sé stessi, una giustificazione valida per la conservazione dei dati da parte dell’investigatore privato.
I dati possono essere comunicati unicamente al soggetto che ha conferito l’incarico.
I dati possono essere comunicati ad un altro investigatore privato solo se questi sia stato indicato nominativamente nell’atto del conferimento dell’incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell’atto di incarico, e la comunicazione sia necessaria per lo svolgimento dei compiti affidati.
I dati genetici, biometrici e relativi alla salute possono essere comunicati alle autorità competenti solo per finalità di prevenzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia.
Fermo restando quanto previsto dall’art. 2-septies, comma 8, del Codice, i dati relativi alla vita sessuale o all’orientamento sessuale non possono essere diffusi.
Resta fermo, per quanto riguarda il trattamento dei dati genetici, quanto previsto dalle relative prescrizioni.
4. Prescrizioni relative al trattamento dei dati genetici (aut. gen. n. 8/2016).
4.1 Definizioni
Ai fini del presente provvedimento si intende per:
a) dati genetici, i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
b) campione biologico, ogni campione di materiale biologico da cui possono essere estratti dati genetici caratteristici di un individuo;
c) test genetico, l’analisi a scopo clinico di uno specifico gene o del suo prodotto o funzione o di altre parti del Dna o di un cromosoma, volta a effettuare una diagnosi o a confermare un sospetto clinico in un individuo affetto (test diagnostico), oppure a individuare o escludere la presenza di una mutazione associata ad una malattia genetica che possa svilupparsi in un individuo non affetto (test presintomatico) o, ancora, a valutare la maggiore o minore suscettibilità di un individuo a sviluppare malattie multifattoriali (test predittivo o di suscettibilità);
d) test farmacogenetico, il test genetico finalizzato all’identificazione di specifiche variazioni nella sequenza del Dna in grado di predire la risposta “individuale” a farmaci in termini di efficacia e di rischio relativo di eventi avversi;
e) test farmacogenomico, il test genetico finalizzato allo studio globale delle variazioni del genoma o dei suoi prodotti correlate alla scoperta di nuovi farmaci e all’ulteriore caratterizzazione dei farmaci autorizzati al commercio;
f) test sulla variabilità individuale, i test genetici che comprendono: il test di parentela volto alla definizione dei rapporti di parentela; il test ancestrale volto a stabilire i rapporti di una persona nei confronti di un antenato o di una determinata popolazione o quanto del suo genoma sia stato ereditato dagli antenati appartenenti a una particolare area geografica o gruppo etnico; il test di identificazione genetica volto a determinare la probabilità con la quale un campione o una traccia di DNA recuperato da un oggetto o altro materiale appartenga a una determinata persona;
g) screening genetico, il test genetico effettuato su popolazioni o su gruppi definiti, comprese le analisi familiari finalizzate a identificare – mediante “screening a cascata” – le persone potenzialmente a rischio di sviluppare la malattia genetica, al fine di delinearne le caratteristiche genetiche comuni o di identificare precocemente soggetti affetti o portatori di patologie genetiche o di altre caratteristiche ereditarie;
h) consulenza genetica, le attività di comunicazione volte ad aiutare l’individuo o la famiglia colpita da patologia genetica a comprendere le informazioni mediche che includono la diagnosi e il probabile decorso della malattia, le forme di assistenza disponibili, il contributo dell’ereditarietà al verificarsi della malattia, il rischio di ricorrenza esistente per sé e per altri familiari e l’opportunità di portarne a conoscenza questi ultimi, nonché tutte le opzioni esistenti nell’affrontare il rischio di malattia e l’impatto che tale rischio può avere su scelte procreative; nell’esecuzione di test genetici tale consulenza comprende inoltre informazioni sul significato, i limiti, l’attendibilità e la specificità del test nonché le implicazioni dei risultati; a tale processo partecipano, oltre al medico e/o al biologo specialisti in genetica medica, altre figure professionali competenti nella gestione delle problematiche psicologiche e sociali connesse alla genetica;
i) informazione genetica, le attività volte a fornire informazioni riguardanti le specifiche caratteristiche degli screening genetici.
4.2 Prescrizioni specifiche
Per la custodia e la sicurezza dei dati genetici e dei campioni biologici sono adottate, in ogni caso, le seguenti cautele:
a) l’accesso ai locali deve avvenire secondo una documentata procedura prestabilita dal titolare del trattamento, che preveda l’identificazione delle persone, preventivamente autorizzate, che accedono a qualunque titolo dopo l’orario di chiusura. Tali controlli possono essere effettuati anche con strumenti elettronici. È ammesso l’utilizzo dei dati biometrici con riguardo alle richiamate procedure di accesso fisico, nel rispetto dei principi in materia di protezione dei dati personali e dei requisiti specifici del trattamento di cui all’art. 9 del Regolamento;
b) la conservazione, l’utilizzo e il trasporto dei campioni biologici sono posti in essere con modalità volte anche a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità;
c) il trasferimento dei dati genetici, con sistemi di messaggistica elettronica ivi compresa la posta, è effettuato con le seguenti cautele: trasmissione dei dati in forma di allegato e non come testo compreso nel corpo del messaggio; cifratura dei dati avendo cura di rendere nota al destinatario la chiave crittografica tramite canali di comunicazione differenti da quelli utilizzati per la trasmissione dei dati; ricorso a canali di comunicazione protetti, tenendo conto dello stato dell’arte della tecnologia utilizzata; protezione dell’allegato con modalità idonee a impedire l’illecita o fortuita acquisizione dei dati trasmessi, come una password per l´apertura del file resa nota al destinatario tramite canali di comunicazione differenti da quelli utilizzati per la trasmissione dei dati. E’ ammesso il ricorso a canali di comunicazione di tipo “web application” che prevedano l’utilizzo di canali di trasmissione protetti, tenendo conto dello stato dell’arte della tecnologia, e garantiscano, previa verifica, l’identità digitale del server che eroga il servizio e della postazione client da cui si effettua l’accesso ai dati, ricorrendo a certificati digitali emessi in conformità alla legge da un’autorità di certificazione;
d) la consultazione dei dati genetici trattati con strumenti elettronici è consentita previa adozione di sistemi di autenticazione basati sull’uso combinato di informazioni note ai soggetti all’uopo designati e di dispositivi, anche biometrici, in loro possesso;
e) i dati genetici e i campioni biologici contenuti in elenchi, registri o banche di dati, sono trattati con tecniche di cifratura o di pseudonimizzazione o di altre soluzioni che, considerato il volume dei dati e dei campioni trattati, li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità, in modo da ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato. Laddove gli elenchi, i registri o le banche di dati siano tenuti con strumenti elettronici e contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati, le predette tecniche devono consentire, altresì, il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali che permettono di identificare direttamente le persone interessate.
4.3 Informazioni agli interessati
Le informazioni da rendere agli interessati ai sensi degli artt. 13 e 14 Regolamento (UE) 2016/679 e anche ai sensi degli artt. 77 e 78 del Codice per il medico di medicina generale e per il pediatra di libera scelta, evidenziano, altresì:
a) i risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici;
b) la facoltà o meno, per l’interessato, di limitare l’ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici, nonché l’eventuale utilizzo di tali dati per ulteriori scopi.
Dopo il raggiungimento della maggiore età, le informazioni sul trattamento di dati personali sono fornite all’interessato anche ai fini dell’acquisizione di una nuova manifestazione del consenso (con. 38, 58, e artt. 5 e 8 Regolamento (UE) 2016/679 e artt. 82, comma 4, del Codice).
4.4 Consulenza genetica e attività di informazione
In relazione ai trattamenti effettuati mediante test genetici per finalità di tutela della salute o di ricongiungimento familiare è fornita all’interessato una consulenza genetica prima e dopo lo svolgimento dell’analisi. Prima dell’introduzione di screening genetici finalizzati alla tutela della salute da parte di organismi sanitari sono adottate idonee misure per garantire un’attività di informazione al pubblico in merito alla disponibilità e alla volontarietà dei test effettuati, alle specifiche finalità e conseguenze, anche nell’ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica.
Il consulente genetista aiuta i soggetti interessati a prendere in piena autonomia le decisioni ritenute più adeguate, tenuto conto del rischio genetico, delle aspirazioni familiari e dei loro principi etico-religiosi, aiutandoli ad agire coerentemente con le scelte compiute, nonché a realizzare il miglior adattamento possibile alla malattia e/o al rischio di ricorrenza della malattia stessa.
Nei casi in cui il test sulla variabilità individuale è volto ad accertare la paternità o la maternità gli interessati sono, altresì, informati circa la normativa in materia di filiazione, ponendo in evidenza le eventuali conseguenze psicologiche e sociali dell’esame.
L’attuazione di ricerche scientifiche su isolati di popolazione è preceduta da un’attività di informazione presso le comunità interessate, anche mediante adeguati mezzi di comunicazione e presentazioni pubbliche, volta ad illustrare la natura della ricerca, le finalità perseguite, le modalità di attuazione, le fonti di finanziamento e i rischi o benefici attesi per le popolazioni coinvolte. L’attività di informazione evidenzia anche gli eventuali rischi di discriminazione o stigmatizzazione delle comunità interessate, nonché quelli inerenti alla conoscibilità di inattesi rapporti di consanguineità e le azioni intraprese per ridurre al minimo tali rischi.
4.5 Consenso
Il consenso al trattamento dei dati genetici è necessario per:
1. finalità di tutela della salute di un soggetto terzo secondo quanto previsto al successivo punto 4.7;
2. lo svolgimento di test genetici nell’ambito delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria, salvo che un’espressa disposizione di legge, o un provvedimento dell’autorità giudiziaria in conformità alla legge, disponga altrimenti (cfr. infra punto 4.9);
3. i trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca o di ricongiungimento familiare. In questi casi, all’interessato è richiesto di dichiarare se vuole conoscere o meno i risultati dell’esame o della ricerca, comprese eventuali notizie inattese che lo riguardano, qualora queste ultime rappresentino per l’interessato un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive (cfr. infra punto 4.10);
4. finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento (cfr. infra punto 4.11).
4.5.1 Modalità di raccolta e revoca del consenso
Per le informazioni relative ai nascituri il consenso è validamente prestato dalla gestante. Nel caso in cui il trattamento effettuato mediante test prenatale possa rivelare anche dati genetici relativi alla futura insorgenza di una patologia del padre, è previamente acquisito anche il consenso di quest’ultimo.
L’opinione del minore, nella misura in cui lo consente la sua età e il suo grado di maturità, è, ove possibile, presa in considerazione, restando preminente in ogni caso l’interesse del minore. Negli altri casi di incapacità, il trattamento è consentito se le finalità perseguite comportano un beneficio diretto per l’interessato e la sua opinione è, ove possibile, presa in considerazione, restando preminente in ogni caso l’interesse dell’incapace.
In caso di revoca del consenso da parte dell’interessato, i trattamenti devono cessare e i dati devono essere cancellati o resi anonimi anche attraverso la distruzione del campione biologico prelevato.
4.6 Comunicazione e diffusione dei dati
Ferme restando le norme generali che disciplinano la comunicazione e la diffusione delle particolari categorie di dati, ivi compresi i dati genetici, tali operazioni di trattamento possono essere svolte nel rispetto delle seguenti prescrizioni (art. 9, Regolamento UE 2016/679 e art. 2-sexies del Codice).
Fatta eccezione per i dati personali forniti in precedenza dal medesimo interessato, i dati genetici devono essere resi noti all’interessato o ai soggetti di cui all’articolo 82, comma 2, lettera a), del Codice da parte di esercenti le professioni sanitarie ed organismi sanitari solo per il tramite di un medico designato dall’interessato o dal titolare.
Il titolare o il responsabile del trattamento possono autorizzare per iscritto gli esercenti le professioni sanitarie diversi dai medici, che nell’esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono designati a trattare dati genetici o campioni biologici, a rendere noti i medesimi dati all’interessato o ai soggetti di cui all’art. 82, comma 2, lettera a) del Codice. Nelle istruzioni alle persone autorizzate al trattamento dei dati sono individuate appropriate modalità e cautele rapportate al contesto nel quale è effettuato il trattamento di dati.
I dati genetici devono essere resi noti, di regola, direttamente all’interessato o a persone diverse dal diretto interessato solo sulla base di una delega scritta di quest’ultimo, adottando ogni mezzo idoneo a prevenire la conoscenza non autorizzata da parte di soggetti anche compresenti. La comunicazione nelle mani di un delegato dell’interessato è eseguita in plico chiuso.
Gli esiti di test e di screening genetici, nonché i risultati delle ricerche qualora comportino per l’interessato un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, devono essere comunicati al medesimo interessato anche nel rispetto della sua dichiarazione di volontà di conoscere o meno tali eventi e, ove necessario, unitamente a un’appropriata consulenza genetica.
Gli esiti di test e di screening genetici, nonché i risultati delle ricerche, qualora comportino un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, anche per gli appartenenti alla stessa linea genetica dell’interessato, possono essere comunicati a questi ultimi, su loro richiesta, qualora l’interessato vi abbia espressamente acconsentito oppure qualora tali risultati siano indispensabili per evitare un pregiudizio per la loro salute, ivi compreso il rischio riproduttivo, e il consenso dell’interessato non sia prestato o non possa essere prestato per effettiva irreperibilità.
In caso di ricerche condotte su gruppi di popolazione o popolazioni isolate, devono essere resi noti alle comunità interessate e alle autorità locali gli eventuali risultati della ricerca che rivestono un’importanza terapeutica o preventiva per la tutela della salute delle persone appartenenti a tali comunità.
4.7 Tutela della salute di un soggetto terzo
Ferme restando le specifiche condizioni in ambito sanitario previste dall’art. 75 del Codice, il trattamento di dati genetici per finalità di tutela della salute di un soggetto terzo può essere effettuato se questi appartiene alla medesima linea genetica dell’interessato e con il consenso di quest’ultimo.
Nel caso in cui il consenso dell’interessato non sia prestato o non possa essere prestato per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere, nonché per effettiva irreperibilità, il trattamento può essere effettuato limitatamente ai dati genetici disponibili qualora sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla necessità, per il terzo, di interventi di natura preventiva o terapeutica. Nel caso in cui l’interessato sia deceduto, il trattamento può comprendere anche dati genetici estrapolati dall’analisi dei campioni biologici della persona deceduta, sempre che sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla necessità, per il terzo, di interventi di natura preventiva o terapeutica (cons. 27, Regolamento UE 2016/679).
4.8 Test presintomatici
Il trattamento di dati genetici e l’utilizzo di campioni biologici per l’esecuzione di test presintomatici e di suscettibilità possono essere effettuati esclusivamente per il perseguimento di finalità di tutela della salute, anche per compiere scelte riproduttive consapevoli e per scopi di ricerca finalizzata alla tutela della salute.
I trattamenti di dati connessi all’esecuzione di test genetici presintomatici possono essere effettuati sui minori non affetti, ma a rischio per patologie genetiche solo nel caso in cui esistano concrete possibilità di terapie o di trattamenti preventivi prima del raggiungimento della maggiore età. I test sulla variabilità individuale non possono essere condotti su minori senza che venga acquisito il consenso di ambedue i genitori, ove esercitano entrambi la potestà sul minore.
4.9 Trattamento di dati genetici per lo svolgimento di investigazioni difensive ai sensi della legge 7 dicembre 2000, n. 397
Il trattamento di dati genetici finalizzato allo svolgimento di investigazioni difensive ai sensi della legge 7 dicembre 2000, n. 397 anche a mezzo di sostituti, di consulenti tecnici e investigatori privati autorizzati, o, comunque, a far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, deve essere effettuato con il consenso dell’interessato solo nel caso in cui presupponga lo svolgimento di test genetici.
Il consenso informato è richiesto alla persona cui appartiene il materiale biologico necessario all’indagine, salvo che un’espressa disposizione di legge, o un provvedimento dell’autorità giudiziaria in conformità alla legge, disponga altrimenti.
Ciò, sempre che il diritto da far valere o difendere sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento (art. 60 del Codice).
4.10 Trattamento di dati genetici per finalità di ricongiungimento familiare e vincoli di consanguineità
Gli organismi internazionali ritenuti idonei dal Ministero degli affari esteri e della cooperazione internazionale e le rappresentanze diplomatiche o consolari ai fini del rilascio delle certificazioni (allo stato disciplinate dall´art. 52 d.lgs. 3 febbraio 2011, n. 71) possono trattare dati genetici per consentire il ricongiungimento familiare limitatamente ai casi in cui l’interessato non possa documentare in modo certo i suoi vincoli di consanguineità mediante certificati o attestazioni rilasciati da competenti autorità straniere, in ragione della mancanza di un’autorità riconosciuta o comunque quando sussistano fondati dubbi sulla autenticità della predetta documentazione (cfr. anche d.lgs. 25 luglio 1998, n. 286).
In ipotesi di realizzazione di test o screening genetici per finalità di ricongiungimento familiare è necessario acquisire il consenso degli interessati; agli interessati è richiesto di dichiarare se vogliono conoscere o meno i risultati dell’esame, comprese eventuali notizie inattese che li riguardano, qualora queste ultime rappresentino per gli interessati un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive.
I dati genetici raccolti a fini di ricongiungimento familiare possono essere comunicati unicamente alle rappresentanze diplomatiche o consolari competenti all’esame della documentazione prodotta dall’interessato o all’organismo internazionale ritenuto idoneo dal Ministero degli affari esteri e della cooperazione internazionale cui l’interessato si sia rivolto. I campioni biologici prelevati ai medesimi fini possono essere trasferiti unicamente al laboratorio designato per l’effettuazione del test sulla variabilità individuale o all’organismo internazionale ritenuto idoneo dal Ministero degli affari esteri e della cooperazione internazionale.
4.11 Trattamento di dati genetici per finalità di ricerca scientifica e statistica
Il trattamento di dati genetici e campioni biologici per finalità di ricerca scientifica e statistica, è consentito solo se volto alla tutela della salute dell’interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico, anche nell’ambito della sperimentazione clinica o ricerca scientifica volta a sviluppare le tecniche di analisi genetica.
Il trattamento deve essere svolto sulla base di un progetto redatto conformemente agli standard del pertinente settore disciplinare, anche al fine di documentare che il trattamento dei dati e l’utilizzo dei campioni biologici sia effettuato per idonei ed effettivi scopi scientifici.
Il progetto specifica le misure da adottare nel trattamento dei dati personali per garantire il rispetto del presente provvedimento, nonché della normativa sulla protezione dei dati personali, anche per i profili riguardanti la custodia e la sicurezza dei dati e dei campioni biologici, e individua gli eventuali responsabili del trattamento (art. 28 Regolamento UE 2016/679). In particolare, laddove la ricerca preveda il prelievo e/o l’utilizzo di campioni biologici, il progetto indica l’origine, la natura e le modalità di prelievo e di conservazione dei campioni, nonché le misure adottate per garantire la volontarietà del conferimento del materiale biologico da parte dell’interessato.
Il progetto è conservato in forma riservata (essendo la consultazione del progetto possibile ai soli fini dell’applicazione della normativa in materia di protezione dei dati personali) per cinque anni dalla conclusione programmata della ricerca.
Quando le finalità della ricerca possono essere realizzate soltanto tramite l’identificazione anche temporanea degli interessati, il titolare del trattamento adotta specifiche misure per mantenere separati i dati identificativi dai campioni biologici e dalle informazioni genetiche già al momento della raccolta, salvo che ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato.
4.11.1 Informazioni agli interessati
In relazione ai trattamenti effettuati per scopi di ricerca scientifica e statistica nelle informazioni fornite agli interessati si evidenziano, altresì:
a) gli accorgimenti adottati per consentire l’identificazione degli interessati soltanto per il tempo necessario agli scopi della raccolta o del successivo trattamento (art. 25 Regolamento UE 2016/679);
b) le modalità con cui gli interessati, che ne facciano richiesta, possono accedere alle informazioni contenute nel progetto di ricerca.
I trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca necessitano del consenso degli interessati; in questi casi agli interessati è richiesto di dichiarare se vogliono conoscere o meno i risultati della ricerca, comprese eventuali notizie inattese che li riguardano, qualora queste ultime rappresentino per gli interessati un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive.
4.11.2 Consenso
Fermo quanto previsto al punto 4.5, i dati genetici e i campioni biologici di persone che non possono fornire il proprio consenso per incapacità, possono essere trattati per finalità di ricerca scientifica che non comportino un beneficio diretto per i medesimi interessati qualora ricorrano contemporaneamente le seguenti condizioni:
a) la ricerca è finalizzata al miglioramento della salute di altre persone appartenenti allo stesso gruppo d’età o che soffrono della stessa patologia o che si trovano nelle stesse condizioni e il programma di ricerca è oggetto di motivato parere favorevole del competente comitato etico a livello territoriale;
b) una ricerca di analoga finalità non può essere realizzata mediante il trattamento di dati riferiti a persone che possono prestare il proprio consenso;
c) il consenso al trattamento è acquisito da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato;
d) la ricerca non comporta rischi significativi per la dignità, i diritti e le libertà fondamentali degli interessati.
In tali casi, resta fermo quanto sopra previsto in ordine all’esigenza di tenere in considerazione, ove possibile, l’opinione del minore o dell’incapace.
Nel caso in cui l’interessato revochi il consenso al trattamento dei dati per scopi di ricerca, è distrutto anche il campione biologico sempre che sia stato prelevato per tali scopi, salvo che, in origine o a seguito di trattamento, il campione non possa più essere riferito ad una persona identificata o identificabile.
4.11.3 Conservazione a fini di ricerca e ulteriore trattamento
In assenza del consenso degli interessati, i campioni biologici prelevati e i dati genetici raccolti per scopi di tutela della salute possono essere conservati e utilizzati per finalità di ricerca scientifica o statistica nei seguenti casi:
a) indagini statistiche o ricerche scientifiche previste dal diritto dell’Unione europea, dalla legge o, nei casi previsti dalla legge, da regolamento;
b) limitatamente al perseguimento di ulteriori scopi scientifici e statistici direttamente collegati con quelli per i quali è stato originariamente acquisito il consenso informato degli interessati.
Quando a causa di particolari ragioni non è possibile informare gli interessati malgrado sia stato compiuto ogni ragionevole sforzo per raggiungerli, la conservazione e l’ulteriore utilizzo di campioni biologici e di dati genetici raccolti per la realizzazione di progetti di ricerca e indagini statistiche, diversi da quelli originari, sono consentiti se una ricerca di analoga finalità non può essere realizzata mediante il trattamento di dati riferiti a persone dalle quali può essere o è stato acquisito il consenso informato e:
aa) il programma di ricerca comporta l’utilizzo di campioni biologici e di dati genetici che in origine non consentono di identificare gli interessati, ovvero che, a seguito di trattamento, non consentono di identificare i medesimi interessati e non risulta che questi ultimi abbiano in precedenza fornito indicazioni contrarie;
bb) ovvero il programma di ricerca, preventivamente oggetto di motivato parere favorevole del competente comitato etico a livello territoriale, è sottoposto a preventiva consultazione del Garante ai sensi dell’art. 36 del Regolamento (UE) 2016/679.
4.11.4 Comunicazione e diffusione dei dati
I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti a enti e istituti di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalità di ricerca, nell’ambito di progetti congiunti e nel rispetto dell’art. 26 del Regolamento.
I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti ai soggetti sopra indicati, qualora siano autonomi titolari del trattamento, limitatamente alle informazioni prive di dati identificativi, per scopi scientifici direttamente collegati a quelli per i quali sono stati originariamente raccolti e chiaramente determinati per iscritto nella richiesta dei dati e/o dei campioni. In tal caso, il soggetto richiedente si impegna a non trattare i dati e/o utilizzare i campioni per fini diversi da quelli indicati nella richiesta e a non comunicarli o trasferirli ulteriormente a terzi.
5. Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (aut. gen. n. 9/2016).
5.1 Ambito di applicazione
Le presenti prescrizioni concernono il trattamento effettuato da:
a) università, altri enti o istituti di ricerca e società scientifiche, nonché ricercatori che operano nell’ambito di dette università, enti, istituti di ricerca e ai soci di dette società scientifiche;
b) esercenti le professioni sanitarie e gli organismi sanitari;
c) persone fisiche o giuridiche, enti, associazioni e organismi privati, nonché soggetti specificatamente preposti al trattamento quali designati o responsabili del trattamento (ricercatori, commissioni di esperti, organizzazioni di ricerca a contratto, laboratori di analisi, ecc.) (art. 2-quaterdecies del Codice; 28 del Regolamento UE 2016/679).
5.2 Tipologie di ricerche
Le seguenti prescrizioni concernono il trattamento di dati personali per finalità di ricerca medica, biomedica ed epidemiologica effettuati quando:
• il trattamento è necessario per la conduzione di studi effettuati con dati raccolti in precedenza a fini di cura della salute o per l’esecuzione di precedenti progetti di ricerca ovvero ricavati da campioni biologici prelevati in precedenza per finalità di tutela della salute o per l’esecuzione di precedenti progetti di ricerca oppure
• il trattamento è necessario per la conduzione di studi effettuati con dati riferiti a persone che, in ragione della gravità del loro stato clinico, non sono in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso.
In questi casi la ricerca deve essere effettuata sulla base di un progetto, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale.
5.3 Consenso
Il consenso dell’interessato non è necessario quando la ricerca è effettuata in base a disposizioni di legge o di regolamento o al diritto dell’Unione europea.
Negli altri casi, quando non è possibile acquisire il consenso degli interessati, i titolari del trattamento devono documentare, nel progetto di ricerca, la sussistenza delle ragioni, considerate del tutto particolari o eccezionali, per le quali informare gli interessati risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, tra le quali in particolare:
1. i motivi etici riconducibili alla circostanza che l’interessato ignora la propria condizione. Rientrano in questa categoria le ricerche per le quali l’informativa sul trattamento dei dati da rendere agli interessati comporterebbe la rivelazione di notizie concernenti la conduzione dello studio la cui conoscenza potrebbe arrecare un danno materiale o psicologico agli interessati stessi (possono rientrare in questa ipotesi, ad esempio, gli studi epidemiologici sulla distribuzione di un fattore che predica o possa predire lo sviluppo di uno stato morboso per il quale non esista un trattamento);
2. i motivi di impossibilità organizzativa riconducibili alla circostanza che la mancata considerazione dei dati riferiti al numero stimato di interessati che non è possibile contattare per informarli, rispetto al numero complessivo dei soggetti che si intende coinvolgere nella ricerca, produrrebbe conseguenze significative per lo studio in termini di alterazione dei relativi risultati; ciò avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché al periodo di tempo trascorso dal momento in cui i dati riferiti agli interessati sono stati originariamente raccolti (ad esempio, nei casi in cui lo studio riguarda interessati con patologie ad elevata incidenza di mortalità o in fase terminale della malattia o in età avanzata e in gravi condizioni di salute).
Con riferimento a tali motivi di impossibilità organizzativa, le seguenti prescrizioni concernono anche il trattamento dei dati di coloro i quali, all’esito di ogni ragionevole sforzo compiuto per contattarli (anche attraverso la verifica dello stato in vita, la consultazione dei dati riportati nella documentazione clinica, l’impiego dei recapiti telefonici eventualmente forniti, nonché l’acquisizione dei dati di contatto presso l’anagrafe degli assistiti o della popolazione residente) risultino essere al momento dell’arruolamento nello studio:
– deceduti o
– non contattabili.
Resta fermo l’obbligo di rendere l’informativa agli interessati inclusi nella ricerca in tutti i casi in cui, nel corso dello studio, ciò sia possibile e, in particolare, laddove questi si rivolgano al centro di cura, anche per visite di controllo, anche al fine di consentire loro di esercitare i diritti previsti dal Regolamento;
3. motivi di salute riconducibili alla gravità dello stato clinico in cui versa l’interessato a causa del quale questi è impossibilitato a comprendere le indicazioni rese nell’informativa e a prestare validamente il consenso. In tali casi, lo studio deve essere volto al miglioramento dello stesso stato clinico in cui versa l’interessato. Inoltre, occorre comprovare che le finalità dello studio non possano essere conseguite mediante il trattamento di dati riferiti a persone in grado di comprendere le indicazioni rese nell’informativa e di prestare validamente il consenso o con altre metodologie di ricerca. Ciò, avuto riguardo, in particolare, ai criteri di inclusione previsti dallo studio, alle modalità di arruolamento, alla numerosità statistica del campione prescelto, nonché all’attendibilità dei risultati conseguibili in relazione alle specifiche finalità dello studio. Con riferimento a tali motivi, deve essere acquisito il consenso delle persone indicate nell´art. 82, comma 2, lett. a), del Codice come modificato dal d.lgs. n. 101/2018. Ciò, fermo restando che sia resa all’interessato l’informativa sul trattamento dei dati non appena le condizioni di salute glielo consentano, anche al fine dell’esercizio dei diritti previsti dal Regolamento.
5.4 Modalità di trattamento
Ove la ricerca non possa raggiungere i suoi scopi senza l’identificazione, anche temporanea, degli interessati, nel trattamento successivo alla raccolta retrospettiva dei dati, sono adottate tecniche di cifratura o di pseudonimizzazione oppure altre soluzioni che, considerato il volume dei dati trattati, la natura, l’oggetto, il contesto e le finalità del trattamento, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di necessità. In questi casi, i codici utilizzati non sono desumibili dai dati personali identificativi degli interessati, salvo che ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato e sia motivato, altresì, per iscritto, nel progetto di ricerca.
L’abbinamento al materiale di ricerca dei dati identificativi dell’interessato, sempre che sia temporaneo ed essenziale per il risultato della ricerca, è motivato, inoltre, per iscritto.
In applicazione del principio di minimizzazione, il trattamento di dati personali per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico può riguardare i dati relativi alla salute degli interessati e, solo ove indispensabili per il raggiungimento delle finalità della ricerca, congiuntamente anche i dati relativi alla vita sessuale o all’orientamento sessuale, nonché all’origine razziale ed etnica (art. 5, par. 1, lett. c), Regolamento UE 2016/679).
5.5 Comunicazione e diffusione
I soggetti che agiscono in qualità di titolari del trattamento per le finalità in esame, anche unitamente ad altri titolari, possono comunicare tra loro i dati personali oggetto della presente autorizzazione nella misura in cui rivestano il ruolo di promotore, di centro coordinatore o di centro partecipante e l’operazione di comunicazione sia indispensabile per la conduzione dello studio.
In aggiunta al divieto di diffusione dei dati relativi alla salute degli interessati (art. 2-septies del Codice), non possono essere diffusi anche quelli relativi alla vita sessuale, all’orientamento sessuale e all’origine razziale ed etnica utilizzati per la conduzione dello studio.
5.6 Conservazione dei dati e dei campioni
I dati e i campioni biologici utilizzati per l’esecuzione della ricerca sono conservati mediante tecniche di cifratura o l’utilizzazione di codici identificativi oppure di altre soluzioni che, considerato il numero dei dati e dei campioni conservati, non li rendono direttamente riconducibili agli interessati, per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
A tal fine, è indicato nel progetto di ricerca il periodo di conservazione, successivo alla conclusione dello studio, al termine del quale i predetti dati e campioni sono anonimizzati.
5.7 Custodia e sicurezza
Fermo restando l’obbligo di adottare le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, sono impiegati dal/i titolare/i del trattamento, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità, specifiche misure e accorgimenti tecnici per incrementare il livello di sicurezza dei dati trattati per l’esecuzione dello studio.
Ciò sia nella fase di memorizzazione o archiviazione dei dati (e, eventualmente, di raccolta e conservazione dei campioni biologici), sia nella fase successiva di elaborazione delle medesime informazioni, nonché nella successiva fase di trasmissione dei dati al promotore o ai soggetti esterni che collaborano con il primo per l’esecuzione dello studio. Sono adottati, in particolare:
a. accorgimenti adeguati a garantire la qualità dei dati e la corretta attribuzione agli interessati;
b. idonei accorgimenti per garantire la protezione dei dati dello studio dai rischi di accesso abusivo ai dati, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l’applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l’adozione di altre misure che rendano inintelligibili i dati ai soggetti non legittimati) nelle operazioni di registrazione e archiviazione dei dati;
c. canali di trasmissione protetti, tenendo conto dello stato dell’arte della tecnologia, nei casi in cui si renda necessaria la comunicazione dei dati raccolti nell’ambito dello studio a una banca dati centralizzata dove sono memorizzati e archiviati oppure ad un promotore o a soggetti esterni di cui lo stesso promotore si avvale per la conduzione dello studio. Laddove detta trasmissione sia effettuata mediante supporto ottico (CD-ROM) è designato uno specifico incaricato della ricezione presso il promotore ed è utilizzato, per la condivisione della chiave di cifratura dei dati, un canale di trasmissione differente da quello utilizzato per la trasmissione del contenuto;
d. tecniche di etichettatura, nella conservazione e nella trasmissione di campioni biologici, mediante codici identificativi, oppure altre soluzioni che, considerato il numero di campioni utilizzati, li rendono non direttamente riconducibili agli interessati, permettendo di identificare questi ultimi solo in caso di necessità;
e. con specifico riferimento alle operazioni di elaborazione dei dati dello studio memorizzati in una banca dati centralizzata, è necessario adottare:
– idonei sistemi di autenticazione e di autorizzazione per il personale preposto al trattamento in funzione dei ruoli ricoperti e delle esigenze di accesso e trattamento, avendo cura di utilizzare credenziali di validità limitata alla durata dello studio e di disattivarle al termine dello stesso;
– procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati ai soggetti designati al trattamento;
– sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.
DESIDERI MAGGIORI INFORMAZIONI SUL TEMA PRIVACY, TRATTEMENTO DEI DATI PERSONALI E DIRITTO ALL’OBLIO?
La tematica in oggetto, specie dopo l’introduzione del GDPR, ha bisogno di un approccio integrato che coniughi le conoscenze legali, per i molti profili di responsabilità per chi tratta o diffonde dati personali, con quelle informatiche e tecniche, fondamentali in una realtà in continuo mutamento.
Rossi, Copparoni & Partners Studio Legale e il network di Partners qualificati dello Studio sono a vostra disposizione per un parere e/o una prima consulenza gratuita.
Inviate una mail a: info@rpcstudiolegale.it e sarete ricontattati.