1. Introduzione
Con il Provvedimento n. 146 del 5 giugno 2019 (il “Provvedimento”), l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha approvato il provvedimento di carattere generale richiesto dall’articolo 21, comma 1, del d.lgs. n. 101/2018.
Il Provvedimento individua varie prescrizioni relative al trattamento delle cc.dd. “categorie particolari di dati personali” (ossia, secondo la previgente terminologia, al trattamento dei “dati sensibili”), ai sensi dell’art. 9 del Regolamento UE 2016/679 (“GDPR”), e supera le Autorizzazioni generali nn. 1/2016, 3/2016, 8/2016, 9/2016.
Nello specifico il Provvedimento riguarda il trattamento di dati sensibili:
(i) nei rapporti di lavoro;
(ii) da parte di organismi di tipo associativo, di fondazioni, chiese e associazioni o comunità religiose;
(iii) da parte di investigatori privati;
(iv) che si qualifichino quali dati genetici; o
(v) per scopi di ricerca scientifica.
2. Prescrizioni relative al trattamento dei dati sensibili nei rapporti di lavoro (cfr. aut. gen. n. 1/2016)
2.1 Ambito d’applicazione. Il Provvedimento si applica a tutti coloro che, a vario titolo effettuano trattamenti per finalità di instaurazione, gestione ed estinzione del rapporto di lavoro.
2.2 Interessati. Il novero dei soggetti interessati risulta notevolmente ampio e comprende, oltre che i lavoratori subordinati, anche candidati all’assunzione, consulenti e liberi professionisti, agenti, rappresentanti e mandatari, lavoratori autonomi, persone fisiche che ricoprono cariche sociali o altri incarichi in persone giuridiche, enti, associazioni e organismi nonché terzi danneggiati nell’esercizio dell’attività lavorativa o professionale dei soggetti interessati e i familiari o conviventi di questi per il rilascio di agevolazioni o permessi.
2.3 Basi giuridiche per il trattamento. Il Provvedimento riconosce che molti trattamenti di dati particolari in ambito lavorativo hanno come base giuridica la legge e i contratti di lavoro; ne discende che quando questi ultimi prevedono l’applicazione di particolari istituti, ad esempio previdenziali o di risoluzione alternativa di controversie, per il cui funzionamento è richiesto il trattamento di dati particolari, tali trattamenti trovano nei contratti collettivi il loro fondamento e limite.
2.4 Divieti. Specifici obblighi gravano sulle imprese prima, durante e dopo l’assunzione dei soggetti interessati.
i. Prima dell’assunzione, i dati sensibili, oltre che, in generale, i dati personali, possono essere trattati solo per scopi determinati e legittimi e soltanto nella misura in cui la raccolta è necessaria per instaurare il rapporto di lavoro. Tutto ciò che è superfluo ai fini della possibile instaurazione di un rapporto d’impiego non va richiesto o, se fornito, non va utilizzato. A tal riguardo, per esempio i datori di lavoro non dovrebbero supporre di essere autorizzati a trattare i dati contenuti in social network per proprie finalità semplicemente perché il profilo di una persona sui media sociali è pubblicamente accessibile. Per poter procedere a un simile trattamento è necessario disporre di un fondamento giuridico, quale un legittimo interesse, ad esempio verificare che il profilo abbia finalità commerciali o sia stato aperto specificamente per aumentare le chances di impiego del lavoratore (es. LinkedIn, cfr. Parere Gruppo di lavoro Art. 29 n. 2/2017).
ii. Nel corso del rapporto di lavoro, fermo restando il divieto di trattamento dei dati genetici dei lavoratori, il Provvedimento precisa limitazioni al trattamento di dati concernenti: (i) convinzioni religiose o filosofiche o l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico; e (ii) le opinioni politiche o l’appartenenza sindacale, o l’esercizio di funzioni pubbliche e incarichi politici nonché di attività o di incarichi sindacali.
2.5 Comunicazione tra uffici. Le comunicazioni, anche elettroniche, che contengono dati particolari, devono essere individualizzate; devono cioè essere adottate le misure più opportune per prevenire la conoscibilità ingiustificata di tali dati da parte di soggetti diversi dal destinatario.
3. Prescrizioni relative al trattamento dei dati sensibili da parte di organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (cfr. aut. gen. n. 3/2016)
3.1 Ambito d’applicazione. Il paragrafo 2 del Provvedimento riguarda l’autorizzazione generale n. 3/2016. Rispetto alla vecchia autorizzazione, il Provvedimento amplia la lista di soggetti cui tali prescrizioni si applicano, estendendola in maniera esplicita a tutti gli operatori del terzo settore. Vi rientrano, poi, oltre ai soggetti senza scopo di lucro e le cooperative sociali e società di mutuo soccorso, anche le chiese, associazioni o comunità religiose. Viene mantenuta l’applicazione, con riferimento ai soli dati che rivelino convinzioni religiose e in relazione all’insegnamento della religione cattolica e delle altre confessioni religiose, agli istituti scolastici. Risulta interessante notare che possono includersi all’interno dell’ambito d’applicazione del Provvedimento non solo quei soggetti che svolgono attività di stretta beneficienza, ma anche quelli che perseguono finalità civiche, di utilità sociale, di interesse generale o di promozione dello sviluppo economico (ad esempio devono considerarsi comprese anche associazioni od organizzazioni a carattere sindacale o di categoria, partiti politici, fondazioni bancarie ecc.).
3.2 Interessati. L’elenco degli interessati resta invariato; è molto ampio e ricomprende un lungo elenco di soggetti (es. associati, aderenti, sostenitori, assistiti, fruitori ecc.) che in vario modo aderiscono, partecipano, o fanno parte degli enti individuati sopra.
3.3 Prescrizioni. Il Provvedimento prevede la possibilità dei titolari individuati nello stesso (sopra menzionati) di comunicare i dati sensibili dei soggetti interessati ad altre persone giuridiche, organismi con scopo di lucro o liberi professionisti che li assistano nel raggiungimento delle proprie finalità statutarie.
Inoltre, tale Provvedimento ammette che, laddove sia previsto dall’atto costitutivo o dallo statuto per il perseguimento di finalità legittime determinate e laddove sia fornita idonea informativa, anche in assenza del consenso degli interessati, i dati sensibili degli interessati in oggetto possano essere comunicati agli altri associati/aderenti all’ente.
4. Prescrizioni relative al trattamento di categorie particolari di dati da parte degli investigatori privati (cfr. aut. gen. n. 6/2016)
4.1 Ambito d’applicazione. Le prescrizioni si applicano ai soggetti che esercitano un’attività d’investigazione privata autorizzata con licenza prefettizia e vanno ad integrare le Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria (Provvedimento n.512 del 19 dicembre 2018).
4.2 Finalità. Il trattamento delle categorie particolari di dati è ammesso quando: (i) effettuato per l’espletamento dell’incarico ricevuto in relazione alle finalità di raccolta delle informazioni da utilizzare in sede giudiziaria, per tali intendendosi sia i giudizi civili che penali, ma anche i procedimenti arbitrali; in caso di trattamento relativo a dati genetici, di salute, o all’orientamento sessuale, il diritto da tutelare deve essere di “pari rango” rispetto al diritto alla protezione dei dati personali dell’interessato, e cioè consistere in un diritto della personalità o altro diritto o libertà fondamentale; ovvero (ii) su incarico di un difensore in riferimento ad un procedimento penale ai soli fini dell’esercizio del diritto alla prova.
4.3 Atto di incarico e svolgimento. Il Provvedimento regola le modalità di trattamento di tali dati e, in particolare, disciplina i contenuti obbligatori dell’atto di incarico agli investigatori privati, in modo da delimitare l’ambito d’applicazione delle prescrizioni e le modalità di svolgimento dello stesso (es. deve essere svolto personalmente o tramite soggetti specificamente individuati, generalmente al termine dell’incarico deve cessare ogni trattamento).
5. Prescrizioni relative al trattamento dei dati genetici (cfr. aut. gen. n. 8/2016)
5.1 Contenuto. Il Provvedimento, in attuazione dell’articolo 9, paragrafo 4, del GDPR detta le particolari modalità di trattamento dei dati genetici e dei campioni biologici, individuando le prescrizioni dell’autorizzazione generale n. 8/2016 compatibili con il GDPR. Sebbene sia mantenuta la stessa struttura di massima della vecchia autorizzazione, tali prescrizioni contengono alcuni elementi di novità.
5.2 Cautele. Per la custodia e la sicurezza di tali dati, in parte riprendendo quanto era previsto dalla vecchia autorizzazione, è richiesta: (i) l’adozione di una procedura d’identificazione delle persone autorizzate al trattamento nel caso di accesso ai locali (ove tali dati sono trattati) dopo l’orario di chiusura (in relazione a tale previsione, già prevista nel provvedimento sottoposto a consultazione, il Garante ha specificato l’ammissibilità d’utilizzo a tal fine anche di dati biometrici); (ii) la conservazione, l’utilizzo e il trasporto in modo da garantire qualità, integrità, disponibilità e tracciabilità; (iii) nel caso di trasmissione dei dati in via elettronica, la trasmissione tramite allegati protetti e la cifratura dei dati, con la trasmissione della chiave crittografica mediante canali di comunicazione differenti; (iv) l’utilizzo di meccanismi di accesso ai trattamenti fondati su doppia chiave di cui almeno una sia tramite un dispositivo ad hoc; (v) l’utilizzo di misure di pseudonimizzazione e separazione dei dati al fine di ridurre l’identificazione degli interessati ai soli casi di necessità.
5.3 Informazioni. Sono disciplinati dettagliati obblighi d’informazione in merito alle scelte che deve fare l’interessato e alle loro conseguenze (specie nel caso di accertamenti della filiazione) e/o rischi, prevedendo l’assistenza dei sanitari e genetisti all’effettuazione delle stesse nel miglior interesse dei soggetti cui i dati si riferiscono.
5.4 Consenso. Sono previste alcune ipotesi in cui è necessariamente richiesto il consenso dell’interessato come base giuridica per il trattamento. Specificamente, esso è richiesto nel caso di (i) tutela della salute di un terzo appartenente alla medesima linea genetica dell’interessato; (ii) test genetici relativi a investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria; (iii) ricerca o ricongiungimento familiare; o (iv) ricerche scientifiche e statistiche non previste dalla legge. In caso di revoca del consenso, i trattamenti devono cessare e i dati devono essere cancellati o resi anonimi.
5.5 Ulteriori considerazioni sulle finalità di ricerca. Nel riprodurre il consenso come base giuridica per i trattamenti di dati genetici il Provvedimento si discosta dalla regola ordinaria prevista dal GDPR che, per i trattamenti effettuati a fini di ricerca, consentirebbe di prescindervi (ai sensi dell’articolo 9, paragrafo 2, lett. j); va altresì notato che il consenso al trattamento dei dati genetici viene richiamato quale possibile ulteriore misura di garanzia (non obbligatoria) dall’articolo 2-septies, paragrafo 6 del Codice Privacy; si tratta comunque di un’opzione che la norma citata offre al Garante nell’emanazione delle misure di garanzia da essa previste e non ancora approvate; il Provvedimento, pertanto, ne sembra anticipare gli esiti.
5.6 Limitazioni. In relazione a ciascuna delle predette ipotesi il Provvedimento dettaglia alcune precisazioni, a seconda dei casi, sulle modalità di trattamento e di comunicazione, sulle informazioni da fornire agli interessati e sulle possibili deroghe alla regola del consenso.
6. Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica (cfr. aut. gen. n. 9/2016)
6.1 Deroghe al consenso. Il Provvedimento va a completare il quadro legale previsto dall’articolo 9, paragrafo 2, lett. j), del GDPR e, sul piano nazionale, dagli articoli 110 (per i dati sanitari) e 110-bis (che però si riferisce ai dati personali in senso lato) del Codice Privacy. Anche per questo Provvedimento valgono le considerazioni già svolte in riferimento a quello concernente il trattamento di dati genetici. Entrambi, infatti, (insieme alle due norme primarie nazionali) si pongono come un residuo dell’assetto antecedente la riforma intervenuta con il GDPR, in quanto perpetuano lo schema che ravvisa nel consenso la regola per l’effettuazione dei trattamenti di dati personali per finalità di ricerca, con il rischio di vanificare l’innovazione prevista dal sovraordinato art. 9, comma 2, lett. j), che svincola dalla regola del consenso i trattamenti di dati particolari effettuati per finalità di ricerca scientifica e statistica, a condizione che siano applicate delle misure di garanzia ulteriori ai sensi del diritto europeo o nazionale. A riprova di ciò si consideri come lo stesso Provvedimento leghi, come in precedenza, i casi di deroga al consenso a quelli nei quali è impossibile o troppo oneroso informare gli interessati. Permane, dunque, una distonia tra l’assetto disegnato dal diritto nazionale e quello, più liberale, preconizzato dal GDPR per i trattamenti per fini di ricerca.
6.2 Considerazioni ulteriori in tema di informative e consensi. Da quanto si legge nel Provvedimento e negli articoli 110 e 110-bis del Codice Privacy emerge che, di regola, sono sempre dovute le informative e questo: sia per il caso di dati raccolti presso l’interessato (art. 13 GDPR), sia, caso molto frequente nel campo della ricerca, quando i dati sono raccolti altrove (art. 14 GDPR). Si tratta dunque d’informative da fornire in relazione a ciascun progetto di ricerca, il che rende problematiche, ad esempio, eventuali informative omnibus, inclusive delle finalità di ricerca scientifica, rilasciate da cliniche, ospedali, laboratori medici o Istituti di ricovero e Cura a Carattere Scientifico in fase di reclutamento di pazienti ai quali vengono erogate prestazioni sanitarie. Muovendo da questi presupposti il Provvedimento introduce un regime molto restrittivo per i titolari che intendessero seguire la strada dell’esonero dall’informativa (e dunque dal consenso): ogni discostamento dalla regola va infatti accuratamente giustificato sotto il profilo etico, clinico o organizzativo, in quest’ultimo caso addirittura richiedendo un obbligo di ricerca attiva degli interessati tramite, ad esempio, la verifica dello stato in vita o l’interpello dell’anagrafe degli assistiti o della popolazione residente. Ne discende, inoltre, che le modalità restrittive appena evidenziate vanno seguite anche quando i dati sono raccolti presso terzi e il titolare intenda avvalersi dell’esonero previsto dall’art. 14, paragrafo 5, lett. b), del GDPR, secondo il quale si può non dare le informative agli interessati quando “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”.
6.3 Il progetto di ricerca. Un elemento cruciale per l’effettuazione delle ricerche e la ponderazione degli oneri di compliance a esse correlati è il progetto di ricerca, il quale deve contenere tutte le informazioni di carattere scientifico e organizzativo necessarie ai fini della conduzione dello studio e della dimostrabilità (accountability) delle decisioni assunte in materia di protezione dei dati personali.
6.4 Principio di minimizzazione e pseudonimizzazione. Perno della disciplina sono rimaste le modalità di trattamento e la conservazione di tali dati personali. Sono richieste misure specifiche al fine di limitare il trattamento ai soli dati necessari e misure di cautela obbligatorie, quali l’utilizzo di tecniche di cifratura, pseudonimizzazione e conservazione separata dei dati al fine evitare violazioni dei dati.
6.5 Misure di sicurezza. Il Provvedimento, infine, fermo restando l’obbligo di adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, ex articolo 32 del GDPR, elenca alcune misure di sicurezza che chi conserva tali dati deve adottare, tra le quali, quelle di maggior rilievo sono: l’utilizzo di canali di trasmissione protetti, tecniche di etichettatura mediante codici identificativi, suddivisione degli accessi ai dati in funzione dei ruoli ricoperti, sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.