GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - DELIBERAZIONE 22 ottobre 2008 | Ingegneri.info

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – DELIBERAZIONE 22 ottobre 2008

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI - DELIBERAZIONE 22 ottobre 2008 - Semplificazioni al modello utilizzato per effettuare le notificazioni al Garante. (GU n. 287 del 9-12-2008 )

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERAZIONE 22 ottobre 2008

Semplificazioni al modello utilizzato per effettuare le
notificazioni al Garante.

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali e, in
particolare, le disposizioni riguardanti la notificazione del
trattamento (articolo 37 ss., decreto legislativo 30 giugno 2003, n.
196);
Visto l’art. 29 del decreto-legge 25 giugno 2008, n. 112, come
modificato dalla legge di conversione 6 agosto 2008, n.133, con il
quale e’ stato, fra l’altro, modificato l’art. 38 del Codice;
Considerato che la notificazione e’ validamente effettuata solo se
e’ trasmessa attraverso il sito dell’Autorita’
(http://www.garanteprivacy.it) utilizzando l’apposito modello
predisposto dal Garante (art. 38 del Codice, come modificato dal
citato art. 29 del decreto-legge n. 112/2008);
Considerato che tale modello deve contenere soltanto alcune
tipologie di informazioni riguardanti il trattamento da notificare,
specificamente indicate nella normativa ora richiamata;
Ritenuta l’esigenza di adeguare il predetto modello per la
notificazione, nonche’ le relative istruzioni, in modo da introdurre,
nei riguardi dei soggetti tenuti a tale adempimento ulteriori
semplificazioni rispetto a quelle in passato gia’ introdotte dal
Garante;
Rilevata l’esigenza che detto modello, unitamente alle relative
istruzioni, sia facilmente reperibile sul sito Internet
dell’Autorita’ (http://www.garanteprivacy.it/), attraverso il quale
deve essere trasmessa la notificazione;
Vista la documentazione in atti;
Viste le osservazioni dell’Ufficio, formulate dal segretario
generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Chiaravalloti;
Premesso:

Il presente provvedimento ha lo scopo di introdurre talune
semplificazioni al modello utilizzato per effettuare le notificazioni
al Garante, ulteriori rispetto a quelle gia’ in passato introdotte da
questa Autorita’. Risulta a tal fine opportuno richiamare
preliminarmente alcune caratteristiche della notificazione.
1) Contenuto della notificazione al Garante.
La notificazione e’ una dichiarazione con la quale un soggetto
pubblico o privato, titolare del trattamento, rende nota al Garante
l’esistenza di un’attivita’ di raccolta e di utilizzazione dei dati
personali. Essa deve contenere unicamente le seguenti tipologie di
informazioni:
a) le coordinate identificative del titolare del trattamento e,
eventualmente, del suo rappresentante, nonche’ le modalita’ per
individuare il responsabile del trattamento se designato;
b) la o le finalita’ del trattamento;
c) una descrizione della o delle categorie di persone interessate
e dei dati o delle categorie di dati relativi alle medesime;
d) i destinatari o le categorie di destinatari a cui i dati
possono essere comunicati;
e) i trasferimenti di dati previsti verso Paesi terzi;
f) una descrizione generale che permetta di valutare in via
preliminare l’adeguatezza delle misure adottate per garantire la
sicurezza del trattamento.
Una volta ricevute, le notificazioni sono inserite in un registro
pubblico consultabile gratuitamente da chiunque on-line.
2) Casi nei quali la notificazione e’ dovuta.
In termini generali, la notificazione e’ dovuta per disposizione di
legge esclusivamente da soggetti che effettuano trattamenti
riguardanti:
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di comunicazione
elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di procreazione assistita, prestazione di servizi
sanitari per via telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche, rilevazione di malattie
mentali, infettive e diffusive, sieropositivita’, trapianto di organi
e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica
trattati da associazioni, enti od organismi senza scopo di lucro,
anche non riconosciuti, a carattere politico, filosofico, religioso o
sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a
definire il profilo o la personalita’ dell’interessato, o ad
analizzare abitudini o scelte di consumo, ovvero a monitorare
l’utilizzo di servizi di comunicazione elettronica con esclusione dei
trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione
del personale per conto terzi, nonche’ dati sensibili utilizzati per
sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie;
f) dati registrati in apposite banche di dati gestite con
strumenti elettronici e relative al rischio sulla solvibilita’
economica, alla situazione patrimoniale, al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti.
La notificazione relativa al trattamento dei dati sopra menzionati
non e’ tuttavia dovuta se relativa all’attivita’ dei medici di
famiglia e dei pediatri di libera scelta, in quanto tale funzione e’
considerata tipica del loro rapporto professionale con il Servizio
sanitario nazionale (art. 37, comma 1-bis, del Codice).
Va altresi’ tenuto conto che questa Autorita’ ha disposto in base
alla legge alcuni esoneri dall’obbligo di notificazione nei riguardi
dei soggetti e dei trattamenti indicati in un’apposita deliberazione
pubblicata sul menzionato sito Internet del Garante, accompagnata da
utili chiarimenti in ordine a quesiti pervenuti (Provv. 31 marzo 2004
n. 1, in Gazzetta Ufficiale 6 aprile 2004, n. 81, nonche’ in
www.garanteprivacy.it, doc. web n. 852561; nota 23 aprile 2004, ivi,
doc. web n. 993385).
Non e’ dovuta la notificazione nei casi diversi da quelli indicati.
3) Momento in cui deve essere effettuata la notificazione.
La notificazione deve essere presentata al Garante prima
dell’inizio del trattamento e una sola volta, a prescindere dal
numero delle operazioni e della durata del trattamento da effettuare,
e puo’ anche riguardare uno o piu’ trattamenti con finalita’
correlate. Essa deve essere effettuata con unico atto anche quando il
trattamento comporta il trasferimento all’estero dei dati.
Una nuova notificazione e’ richiesta solo anteriormente alla
cessazione del trattamento o al mutamento di taluno degli elementi da
indicare nella notificazione medesima.
Tutto cio’ premesso, in attuazione della menzionata modifica
normativa, vanno quindi introdotte alcune modifiche semplificative
del modello di notificazione. Il modello semplificato sara’ reso
disponibile e operativo sul menzionato sito del Garante entro e non
oltre sessanta giorni dalla data di pubblicazione del presente
provvedimento, non appena soddisfatte le esigenze tecniche di
adattamento del medesimo sito.
Pertanto, il Garante;
Delibera:

1. Di introdurre talune semplificazioni al modello utilizzato per
effettuare le notificazioni al Garante, approvando il nuovo modello
di notificazione riportato, nell’allegato A che costituisce parte
integrante del presente provvedimento e che sara’ reso disponibile e
operativo sul sito Internet del Garante
(http://www.garanteprivacy.it) entro e non oltre sessanta giorni
dalla data di pubblicazione del presente provvedimento;
2. di dare atto che l’introduzione del nuovo modello non comporta,
per cio’ stesso, l’obbligo di effettuare una nuova notificazione da
parte dei soggetti che l’abbiano gia’ effettuata;
3. di disporre che copia del presente provvedimento sia trasmessa
al Ministero della giustizia – Ufficio pubblicazione leggi e decreti,
per la pubblicazione sulla Gazzetta Ufficiale della Repubblica
italiana.
Roma, 22 ottobre 2008

Il presidente
Pizzetti

Il relatore
Chiaravalloti

Il segretario generale
Buttarelli

Allegato A

—-> Vedere Modello da pag. 30 a pag. 41 <----

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI – DELIBERAZIONE 22 ottobre 2008

Ingegneri.info