Nel periodo di riferimento considerato (Ottobre 2016-Dicembre 2016), si segnala, tra i provvedimenti di carattere generale, l’approvazione da parte del Garante per la protezione dei dati personali (di seguito ‘Garante’) delle «Autorizzazioni generali» al trattamento di dati sensibili e giudiziari, riferite a diversi ambiti e settori.
Il riferimento è ai seguenti provvedimenti: Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro1; Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale2; Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni3; Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti4; Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari5; Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati6; Autorizzazione generale n. 7/2016, al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici7; Autorizzazione generale n. 8/2016 al trattamento dei dati genetici8; Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica9.
Al riguardo, si ricorda, infatti, che il d. lgs. n. 196 del 30/6/2003 recante il «Codice in materia di protezione dei dati personali» (di seguito «Codice privacy») prevede, infatti, che i dati sensibili10 e giudiziari11 possano essere trattati da soggetti privati ed enti pubblici economici solo previa autorizzazione del Garante per la protezione dei dati personali e con il consenso scritto degli interessati, salvi i casi di esenzione (artt. 26 e 27).
La citata normativa prevede, altresì, che il predetto trattamento possa essere autorizzato dal Garante anche d’ufficio, ossia senza una specifica richiesta del titolare del trattamento, con provvedimenti di carattere generale (cd. Autorizzazioni generali), relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice privacy).
La ratio di tale previsione risiede nella volontà di semplificare gli adempimenti dei titolari del trattamento. Come ha, infatti, evidenziato l’Autorità di protezione dei dati personali, le autorizzazioni di carattere generale sono uno «strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresì superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento», ciò anche considerando «la necessità di garantire il rispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà fondamentali, nonché per la dignità delle persone, e, in particolare, per il diritto alla protezione dei dati personali sancito dall’art. 1» del Codice privacy12.
In tale quadro, le nuove autorizzazioni rispecchiano, in linea generale, quelle scadute, apportando le integrazioni derivanti da modifiche normative intervenute nei settori considerati e hanno efficacia per il periodo decorrente dall’1/1/2017 fino al 24/5/2018. Ciò perché dal 25/5/2018 sarà applicabile il Regolamento del Parlamento Europeo «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» del 27/4/2016, n. 2016/679/UE13 già entrato in vigore in data 24/5/201614.
Nell’economica delle presenti note, tra i diversi casi trattati dal Garante anche alla luce delle autorizzazioni generali, per comprendere meglio il relativo meccanismo, si ritiene utile ricordare un recente caso, inerente a una nota vicenda portata all’attenzione dai più conosciuti quotidiani nazionali, relativo alla vendita della banca dati del DNA di cittadini della Regione Sardegna e, attualmente, definito in via provvisoria dal Garante con un provvedimento di blocco del trattamento di dati genetici15.
Il caso aveva a oggetto la «cessione a terzi della biobanca a fini di ricerca, appartenente al complesso aziendale della Shar.Dna Spa, in liquidazione, che cont[eneva] circa 230.000 campioni biologici estratti da circa 11.700 individui, abitanti in Ogliastra, insieme ai relativi dati personali demografici, genealogici, clinici e genetici e riguardanti rapporti di parentela risalenti fino al 1600»16.
Nello specifico, dall’istruttoria effettuata dal Garante privacy, è risultato che a seguito del fallimento della società Shar.dna erano stati inseriti nel compendio fallimentare «i diritti di utilizzo» dei predetti campioni biologici di DNA donati alla società dai soggetti interessati17.
I campioni biologici sono così stati venduti, con formale aggiudicazione, a una società terza con sede a Londra nel Regno Unito, ossia uno Stato che, in occasione del referendum consultivo che si è svolto lo scorso 23/6/2016, ha votato per la propria uscita dall’Unione Europea (cd. Brexit).
A seguito della citata vendita, il Garante privacy ha ricevuto numerosi reclami e segnalazioni, da parte di un «centinaio di donatori», che hanno lamentato la carenza dell’informativa resa agli interessati al momento della donazione del campione ai sensi dell’art. 13 del Codice privacy; la mancanza «di misure di sicurezza adeguate a custodire i campioni contenuti nella biobanca»; nonché la loro impossibilità di esercitare i diritti relativi «alla revoca del consenso al trattamento dei dati già rilasciato in precedenza – ovvero alla manifestazione del consenso al loro trattamento da parte del nuovo titolare – a causa della mancanza di indicazioni chiare in merito al/ai soggetti che attualmente rivestono tale qualità con riferimento alla biobanca»18.
In tale quadro, il Garante privacy, anche alla luce di quanto disposto nell’Autorizzazione generale al trattamento dei dati genetici, riservandosi in ogni modo di approfondire l’istruttoria comunque avviata, ha disposto, nelle more della definizione della questione «la misura temporanea del blocco del trattamento dei dati personali contenuti nella biobanca, con conseguente obbligo a carico [della società londinese cessionaria] di astenersi da ogni ulteriore trattamento dei dati degli interessati e utilizzo dei campioni biologici ad eccezione delle sole operazioni di trattamento necessarie per: - garantire un’adeguata conservazione dei dati e dei campioni della biobanca, allorché, venute meno le esigenze cautelari, venga acquisita la disponibilità di questi ultimi; - ricontattare gli interessati, al fine di rendere loro un’idonea informativa e raccogliere una nuova manifestazione di consenso nei termini illustrati nel presente provvedimento; - fornire adeguato riscontro alle eventuali richieste degli interessati volte a esercitare i diritti in materia di protezione dei dati personali»19.
(Scheda aggiornata al 31 dicembre 2016)
Note:
[1] Provv. del 15 dicembre 2016, in www.gpdp.it, doc. web n. 5800451.
[2] Provv. del 15 dicembre 2016, ivi, doc. web n. 5803257.
[3] Provv. del 15 dicembre 2016, ivi, doc. web n. 5803310.
[4] Provv. del 15 dicembre 2016, ivi, doc. web n. 5797347.
[5] Provv. del 15 dicembre 2016, ivi, doc. web n. 5803396.
[6] Provv. del 15 dicembre 2016, ivi, doc. web n. 5803458.
[7] Provv. del 15 dicembre 2016, ivi, doc. web n. 5803630.
[8] Provv. del 15 dicembre 2016, ivi, doc. web n. 5803688.
[9] Provv. del 15 dicembre 2016, ivi, doc. web n. 5805552.
[10] Per «dati sensibili» si intendono «i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale» (art. 4, comma 1, lett. d, del Codice privacy).
[11] Per «dati giudiziari» si intendono «i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale» (art. 4, comma 1, lett. e, del Codice privacy).
[12] Cfr. provv. citati supra in note 1-9.
[13] In G.U.U.E. 4/5/2016, n. L 119.
[14]Cfr. art. 99 del Regolamento.
[15] Provvedimento di blocco del trattamento dei dati personali contenuti in una biobanca n. 389 del 6 ottobre 2016, in www.gpdp.it, doc. web n. 5508051.
[16] Ivi.
[17] Ivi.
[18] Ivi.
[19] Ivi.