Dati particolari: le prescrizioni del Garante per la protezione dei dati personali
Il Garante per la protezione dei dati personali ha adottato un provvedimento, pubblicato in Gazzetta Ufficiale il 29 luglio 2019, che contiene gli obblighi che dovranno essere rispettati dalle organizzazioni pubbliche e private in diversi settori per poter trattare particolari categorie di dati personali (i dati normalmente noti come “sensibili”).
Questo provvedimento si pone come un’ulteriore dimostrazione del graduale processo di adeguamento dell’ordinamento interno al Regolamento Europeo 2016/679 (GDPR).
In particolare, l’Allegato 1 del provvedimento è così suddiviso in diverse sezioni sotto riportate e brevemente descritte.
1. Trattamenti di categorie particolari di dati nei rapporti di lavoro
Viene in questa sezione specificato che il provvedimento si applica a tutte le organizzazioni che effettuino, per l’instaurazione, la gestione e l’estinzione del rapporto di lavoro, trattamento di dati particolari riferiti ad interessati ad ampio spettro in relazione al mondo del lavoro: candidati, lavoratori subordinati, consulenti e liberi professionisti, collaboratori, persone che ricoprono cariche sociali, terzi familiari e conviventi dei suddetti interessati.
Il trattamento di dati particolari per queste finalità può essere effettuato, sin dalle fasi preliminari all’assunzione, solo se necessario, secondo quanto già descritto nell’art. 9 par. 2 del GDPR.
2. Trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose
Rispetto a questo settore, il provvedimento elenca specifici interessati coinvolti in maniera estesa nella diramazione organizzativa di tali organizzazioni.
Il trattamento può essere effettuato unicamente per perseguire scopi ben determinati dalla legge, dall’atto costitutivo, dallo statuto o dal contratto collettivo; per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione; per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria o amministrativa nonché nelle procedure di arbitrato e di conciliazione.
Altre finalità ammesse di trattamento sono l’esercizio del diritto di accesso ai dati e ai documenti amministrativi, per la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa delle organizzazioni analizzate nella presente sezione.
I dati potranno essere comunicati agli altri associati/aderenti anche in assenza del consenso degli interessati, solo se tale comunicazione sia prevista dall’atto costitutivo o dallo statuto per il perseguimento di scopi determinati e legittimi e che le modalità di utilizzo dei dati siano comunicate agli interessati attraverso un’informativa.
3. Trattamenti di categorie particolari di dati da parte degli investigatori privati
Gli organismi che effettuano attività investigativa privata autorizzata da licenza prefettizia possono trattare dati particolari solamente nei limiti dell’incarico ricevuto: gli investigatori privati quindi non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di dati.
L’atto di incarico deve descrivere in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l’investigazione è collegata, oltre al termine ragionevole entro cui questa deve essere conclusa.
Una volta conclusa l’attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico.
4. Trattamenti di dati genetici
Rispetto ai dati genetici il provvedimento interviene con una descrizione dettagliata, accompagnata a quella di campioni biologici.
Considerando la forte importanza e criticità di tale categoria di dati particolari, il Garante pone accento sull’esigenza di disporre una rete di misure di sicurezza adeguate al livello di rischio.
Essenziale è la gestione del consenso per il trattamento di tali dati; deve dunque essere richiesto per i seguenti casi:
- finalità di tutela della salute di un soggetto terzo;
- lo svolgimento di test genetici nell’ambito delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria,
- i trattamenti effettuati mediante test genetici, compreso lo screening, a fini di ricerca o di ricongiungimento familiare.
- finalità di ricerca scientifica e statistica non previste dalla legge o da altro requisito specifico di cui all’art. 9 del Regolamento.
5. Trattamenti di dati personali effettuati per scopi di ricerca scientifica
E’ consentito solo se volto alla tutela della salute dell’interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico, anche nell’ambito della sperimentazione clinica o ricerca scientifica volta a sviluppare le tecniche di analisi genetica.
Il trattamento deve essere svolto sulla base di un progetto redatto conformemente agli standard del pertinente settore disciplinare e che specifichi le misure da adottare nel trattamento dei dati personali per garantire il rispetto del provvedimento stesso, ma anche l’origine, la natura e le modalità di prelievo e di conservazione dei campioni, nonché le misure adottate per garantire la volontarietà del conferimento del materiale biologico da parte dell’interessato.
La violazione delle prescrizioni contenute in questo provvedimento è soggetta alle sanzioni amministrative di cui all’art. 83.5 del Regolamento (fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente).
Bisogna segnalare che il presente provvedimento produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui rispettivamente agli artt. 2-quater e 2-septies del D. Lgs. 196/2003.