Osservatorio delle libertà ed istituzioni religiose

Olir

Osservatorio delle Libertà ed Istituzioni Religiose

Documenti • 14 Gennaio 2009

Deliberazione 22 ottobre 2008

Deliberazione 22 ottobre 2008: "Semplificazioni al modello utilizzato per effettuare le notificazioni al Garante".

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali e, in particolare, le disposizioni riguardanti la notificazione del trattamento (articolo 37 ss., decreto legislativo 30 giugno 2003, n. 196);
Visto l'art. 29 del decreto-legge 25 giugno 2008, n. 112, come modificato dalla legge di conversione 6 agosto 2008, n.133, con il quale e' stato, fra l'altro, modificato l'art. 38 del Codice;
Considerato che la notificazione e' validamente effettuata solo se e' trasmessa attraverso il sito dell'Autorita'
(http://www.garanteprivacy.it) utilizzando l'apposito modello predisposto dal Garante (art. 38 del Codice, come modificato dal citato art. 29 del decreto-legge n. 112/2008);
Considerato che tale modello deve contenere soltanto alcune tipologie di informazioni riguardanti il trattamento da notificare, specificamente indicate nella normativa ora richiamata;
Ritenuta l'esigenza di adeguare il predetto modello per la notificazione, nonche' le relative istruzioni, in modo da introdurre, nei riguardi dei soggetti tenuti a tale adempimento ulteriori semplificazioni rispetto a quelle in passato gia' introdotte dal Garante;
Rilevata l'esigenza che detto modello, unitamente alle relative istruzioni, sia facilmente reperibile sul sito Internet
dell'Autorita' (http://www.garanteprivacy.it/), attraverso il quale deve essere trasmessa la notificazione;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;

Premesso:
Il presente provvedimento ha lo scopo di introdurre talune semplificazioni al modello utilizzato per effettuare le notificazioni al Garante, ulteriori rispetto a quelle gia' in passato introdotte da questa Autorita'. Risulta a tal fine opportuno richiamare preliminarmente alcune caratteristiche della notificazione.

1) Contenuto della notificazione al Garante.
La notificazione e' una dichiarazione con la quale un soggetto pubblico o privato, titolare del trattamento, rende nota al Garante l'esistenza di un'attivita' di raccolta e di utilizzazione dei dati personali. Essa deve contenere unicamente le seguenti tipologie di informazioni:
a) le coordinate identificative del titolare del trattamento e, eventualmente, del suo rappresentante, nonche' le modalita' per individuare il responsabile del trattamento se designato;
b) la o le finalita' del trattamento;
c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via preliminare l'adeguatezza delle misure adottate per garantire la sicurezza del trattamento.
Una volta ricevute, le notificazioni sono inserite in un registro pubblico consultabile gratuitamente da chiunque on-line.

2) Casi nei quali la notificazione e' dovuta.
In termini generali, la notificazione e' dovuta per disposizione di legge esclusivamente da soggetti che effettuano trattamenti riguardanti:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita', trapianto di organi
e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalita' dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita' economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
La notificazione relativa al trattamento dei dati sopra menzionati non e' tuttavia dovuta se relativa all'attivita' dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione e' considerata tipica del loro rapporto professionale con il Servizio sanitario nazionale (art. 37, comma 1-bis, del Codice).
Va altresi' tenuto conto che questa Autorita' ha disposto in base alla legge alcuni esoneri dall'obbligo di notificazione nei riguardi dei soggetti e dei trattamenti indicati in un'apposita deliberazione pubblicata sul menzionato sito Internet del Garante, accompagnata da utili chiarimenti in ordine a quesiti pervenuti (Provv. 31 marzo 2004 n. 1, in Gazzetta Ufficiale 6 aprile 2004, n. 81, nonche' in www.garanteprivacy.it, doc. web n. 852561; nota 23 aprile 2004, ivi, doc. web n. 993385).
Non e' dovuta la notificazione nei casi diversi da quelli indicati.

3) Momento in cui deve essere effettuata la notificazione.
La notificazione deve essere presentata al Garante prima dell'inizio del trattamento e una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e puo' anche riguardare uno o piu' trattamenti con finalita' correlate. Essa deve essere effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati.
Una nuova notificazione e' richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
Tutto cio' premesso, in attuazione della menzionata modifica normativa, vanno quindi introdotte alcune modifiche semplificative del modello di notificazione. Il modello semplificato sara' reso disponibile e operativo sul menzionato sito del Garante entro e non oltre sessanta giorni dalla data di pubblicazione del presente provvedimento, non appena soddisfatte le esigenze tecniche di adattamento del medesimo sito.

Pertanto, il Garante;

Delibera:
1. Di introdurre talune semplificazioni al modello utilizzato per effettuare le notificazioni al Garante, approvando il nuovo modello di notificazione riportato, nell'allegato A che costituisce parte integrante del presente provvedimento e che sara' reso disponibile e operativo sul sito Internet del Garante (http://www.garanteprivacy.it) entro e non oltre sessanta giorni dalla data di pubblicazione del presente provvedimento;
2. di dare atto che l'introduzione del nuovo modello non comporta, per cio' stesso, l'obbligo di effettuare una nuova notificazione da parte dei soggetti che l'abbiano gia' effettuata;
3. di disporre che copia del presente provvedimento sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 22 ottobre 2008

Il presidente Pizzetti
Il relatore Chiaravalloti
Il segretario generale Buttarelli