(Garante per la protezione dei dati personali, provvedimento 31 gennaio 2002)
Il Garante per la protezione dei dati personali
In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;
Visto, in particolare, l'art. 22, comma 1, della citata legge n. 675/1996, il quale individua i dati personali «sensibili»;
Considerato che i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorità e, ove necessario, con il consenso scritto degli interessati;
Visti gli articoli 22, comma 3 e comma 3-bis e 23 della medesima legge n. 675/1996;
Visto l'art. 17 del decreto legislativo 11 maggio 1999, n. 135 e successive modificazioni ed integrazioni, nonchè il provvedimento del Garante n. 1/P/2000 del 30 dicembre 1999-13 gennaio 2000, pubblicato nella Gazzetta Ufficiale n. 26 del 2 febbraio 2000, con il quale sono state individuate le rilevanti finalità di interesse pubblico di cui all'art. 22, comma 3, della legge n. 675/1996;
Visto l'art. 23, comma 1-bis, della legge n. 675/1996 che prevede modalità semplificate per le informative di cui all'art. 10 della medesima legge e per la prestazione del consenso;
considerato che analoghe modalità semplificate sono previste dall'art. 17, comma 3, del decreto legislativo n. 135/1999;
Considerato che il trattamento dei dati in questione può essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 41, comma 7, legge n. 675/1996);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti autorizzatori da parte di numerosi titolari del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 31 gennaio 2002, armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata;
Visto l'art. 17, comma 5, del decreto legislativo 11 maggio 1999, n. 135 (come integrato e modificato dall'art. 16 del decreto legislativo 30 luglio 1999, n. 281), secondo cui il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione; considerato che il trattamento dei dati genetici può essere proseguito nei limiti di quanto disposto dalla presente autorizzazione fino al rilascio della predetta autorizzazione;
Ritenuto opportuno che anche tali nuove autorizzazioni provvisorie siano a tempo determinato ai sensi dell'art. 14 del decreto del Presidente della Repubblica 31 marzo 1998 n. 501, in relazione alla prevista emanazione del testo unico della normativa in materia di protezione dei dati personali, in attuazione della legge n. 127 del 2001;
Considerata la necessità di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonchè per la dignità delle persone, principi valutati anche sulla base delle raccomandazioni adottate in materia di dati sanitari dal Consiglio d'Europa ed in particolare dalla raccomandazione N.R (97) 5, in base alla quale i dati sanitari devono essere trattati, di regola, solo nell'ambito dell'assistenza sanitaria o sulla base di regole di segretezza e di efficacia pari a quelle previste in tale ambito;
Considerato che un elevato numero di trattamenti idonei a rivelare lo stato di salute e la vita sessuale è effettuato per finalità di prevenzione o di cura, per la gestione di servizi socio-sanitari, per ricerche scientifiche o per la fornitura all'interessato di prestazioni, beni o servizi;
Visto l'art. 35 della legge n. 675/1996;
Visto il regolamento recante norme sulle misure minime di sicurezza adottato con decreto del Presidente della Repubblica 28 luglio 1999, n. 318;
Visto l'art. 14 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan;