L’avvento del GDPR ha modificato in modo massivo il vecchio ‘Codice della Privacy’ – D. Lgs.196/2003 sopratutto sul tema dati sensibili.

GDPR - PrivacyIl provvedimento del Garante della Privacy riguardante le “Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101.”

L’art. 21 del D. Lgs. n. 101/2018 (intervenuto in modo consistente sul ‘Codice’ – D. Lgs.196/2003 – per il citato adeguamento) aveva demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX, del Regolamento (disposizioni riferite, rispettivamente, a trattamenti di dati necessari per l’adempimento di obblighi di legge cui è soggetto il Titolare, trattamenti necessari per l’esecuzione di un compito di interesse pubblico o per l’esercizio di un pubblico potere di cui è investito il Titolare, trattamenti di dati sensibili in materia di diritto del lavoro e della sicurezza e protezione sociale, disposizioni che attribuiscono agli Stati la facoltà di introdurre norme più stringenti in materia di trattamento di dati genetici, biometrici e relativi alla salute, nonché disposizioni relative a specifiche situazioni di trattamento) che risultavano compatibili con le nuove disposizioni comunitarie, provvedendo, se del caso, al loro aggiornamento.

Su tale atto, sempre in base al suddetto art. 21 (comma 1), veniva avviata una consultazione pubblica finalizzata alla acquisizione di osservazioni e proposte che si concludeva nei termini previsti (60 giorni dalla data di pubblicazione dell’avviso in G.U., avvenuta l’11 gennaio scorso) ed al cui esito ha fatto seguito l’adozione del presente Provvedimento, con il relativo Allegato 1 il cui contenuto comprende, per l’appunto, una serie di prescrizioni (misure di sicurezza, adempimenti e cautele) concernenti:


VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;

VISTE le autorizzazioni generali adottate ai sensi degli artt. 26 e 40 del Codice;

CONSIDERATO che gli artt. 26 e 40 del Codice sono stati abrogati dall’art. 27, comma 1, lett. a), n. 2), del citato d.lgs. n. 101/2018;

CONSIDERATO che l’art. 21 del d.lgs. n. 101/2018, in attuazione delle disposizioni del Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo, altresì, al loro aggiornamento ove occorrente;

RITENUTO di dare attuazione al citato art. 21 del d.lgs. n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice;

RILEVATO che l’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel Regolamento e nel Codice (art. 10 Regolamento; 2-octies del Codice e art. 21 del d.lgs. n. 101/2018), ha cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione;

CONSIDERATO che a decorrere dal 25 maggio 2018 l’espressione “dati sensibili” si intende riferita alle categorie particolari di dati di cui al citato art. 9 del Regolamento (art. 22, comma 2, del d.lgs. n.101/2018);

VISTO l’art. 9 del Regolamento, che individua i presupposti per il trattamento dei dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. “categorie particolari di dati personali”, par. 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (par. 4);

RILEVATO che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali;

VISTO l´art. 2-decies, del Codice, secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall’art. 160-bis dello stesso Codice;

CONSIDERATO che, in base all’art. 21, comma 5, del d.lgs. n. 101/2018, la violazione delle prescrizioni contenute nel presente provvedimento generale sono soggette alla sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento;

VISTO il provvedimento generale del 13 dicembre 2018, n. 497 con il quale il Garante ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice;

VISTO che con il medesimo provvedimento il Garante ha deliberato, come richiesto dall’art. 21, comma 1, d. lgs. 101/2018, di avviare unaconsultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni che si è conclusa decorsi 60 giorni dalla data di pubblicazione del relativo avviso (G. U. n. 9 dell’11 gennaio 2019);

VISTE le osservazioni e le proposte pervenute al Garante inerenti ai risvolti applicativi del richiamato provvedimento prescrittivo da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento;

RITENUTO di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonché di armonizzarle nel contesto normativo vigente;

VISTO l’art. 170 del Codice come sostituito dall’art. 15, comma 1, lett. e), del d.lgs. n. 101/2018;

VISTI gli articoli 21, comma 5, del d.lgs. n. 101/2018 e 83, par. 5 del Regolamento;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX del Regolamento riportate nell’allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell’art. 21, comma 2, del d.lgs. n. 101/2018.

Roma, 5 giugno 2019


  • trattamenti di categorie particolari di dati nei rapporti di lavoro (Aut. gen. 1/2016)

  • trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Aut. gen. 3/2016)

  • trattamenti di categorie particolari di dati da parte degli investigatori privati (Aut. gen. 6/2016)

  • trattamenti di dati genetici (Aut. gen. 8/2016)

  • trattamenti di dati personali effettuati per scopi di ricerca scientifica (Aut. gen. 9/2016)


 

 

Pin It on Pinterest

Share This

Share this post with your friends!