Pubbl. Sab, 24 Nov 2018
Il trattamento dei dati sensibili alla luce del principio di trasparenza, del C.A.D. e del GDPR
Modifica paginaIl necessario bilanciamento degli interessi nel rapporto tra la normativa sulla trasparenza amministrativa e quella posta a tutela dei dati personali. Le modifiche normative e gli interventi dell’Autorità Garante
Il d.lgs. n. 33/2013 ha introdotto il concetto di accessibilità totale delle informazioni concernenti l'organizzazione e l'attività delle pubbliche amministrazioni, al fine di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull'utilizzo delle risorse pubbliche. Questa forma di trasparenza amministrativa presenta inevitabili punti di contrasto con il diritto alla protezione dei dati personali.
Sul punto, l’art. 7-bis del d.lgs n. 33/2013, nel disciplinare il riutilizzo dei dati pubblicati, precisa che gli obblighi di pubblicazione dei dati personali diversi dai dati sensibili e dai dati giudiziari, di cui all'articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, comportano la possibilità di una diffusione dei dati medesimi attraverso siti istituzionali, nonché il loro trattamento secondo modalità che ne consentono la indicizzazione e la rintracciabilità tramite i motori di ricerca web ed il loro riutilizzo ai sensi dell'articolo 7 nel rispetto dei principi sul trattamento dei dati personali.
La pubblicazione nei siti istituzionali di dati relativi a titolari di organi di indirizzo politico e di uffici o incarichi di diretta collaborazione, nonché a dirigenti titolari degli organi amministrativi, è finalizzata alla realizzazione della trasparenza pubblica, che integra una finalità di rilevante interesse pubblico nel rispetto della disciplina in materia di protezione dei dati personali
Inoltre, le pubbliche amministrazioni possono pubblicare, nel proprio sito istituzionale, dati, informazioni e documenti che non hanno l'obbligo di pubblicare. Con la pubblicazione di atti o documenti, le pubbliche amministrazioni provvedono a rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili.
Non sono ostensibili, invece, se non nei casi previsti dalla legge, le notizie concernenti la natura delle patologie e degli impedimenti personali o familiari che causino l'astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il dipendente e l'amministrazione, idonee a rivelare taluna delle informazioni di cui all'articolo 4, comma 1, lettera d), del decreto legislativo n. 196 del 2003 e ss.mm.ii[1].
Ciò detto, sono notevoli i punti di interferenza tra la normativa sulla trasparenza amministrativa e quella posta a tutela dei dati personali.
Sul punto, l’Autorità Garante per la protezione dei dati personali ha più volte specificato che, se priva di adeguati criteri discretivi, la divulgazione di un patrimonio informativo immenso e crescente può consistere nella diffusione di aspetti della vita individuale la cui conoscenza è inutile ai fini del controllo sull'esercizio del potere ma, per l'interessato, può essere estremamente dannosa.
Il Garante è intervenuto con specifiche Linee guida[2] al fine di garantire l'osservanza della disciplina in materia di protezione dei dati personali nell'adempimento degli obblighi di pubblicazione sul web di atti e documenti.
A tal fine, i soggetti pubblici devono adottare idonee misure preventive nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell'azione amministrativa.
In particolare, la pubblica amministrazione deve:
- verificare la sussistenza dell'obbligo di pubblicazione dell'atto o del documento nel proprio sito web istituzionale;
- limitarsi ad includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita;
- se sono sensibili o relativi a procedimenti giudiziari (ora categorie particolari di dati), i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.
La pubblica amministrazione deve, quindi, utilizzare le seguenti modalità operative:
- individuare se esista un presupposto di legge o di regolamento che legittima la diffusione dei dati personali;
- verificare se ricorrano i presupposti per l'oscuramento di determinate informazioni;
- sottrarre all'indicizzazione i dati sensibili e giudiziari, come ricordato al punto precedente.
E’, poi, vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l'esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Ad esempio, occorre garantire il rispetto della dignità delle persone, facendo oscurare, dai siti web dei Comuni, i dati personali contenuti nelle ordinanze con le quali i Sindaci dispongono il trattamento sanitario obbligatorio per determinati cittadini.
Nell’ambito degli obblighi di pubblicazione, si suggerisce di adottare le seguenti misure:
- curricula professionali, nei limiti dei dati pertinenti alle finalità di trasparenza perseguiti;
- dichiarazioni dei redditi dei componenti degli organi di indirizzo politico e dei loro familiari, nel rispetto dei principi di pertinenza e non eccedenza;
- compensi di alcuni soggetti (es. amministrativi di vertice), evitando la versione integrale dei documenti contabili e fiscali;
- provvedimenti amministrativi (es. concorsi, prove selettive);
- concessioni di sovvenzioni, contributi, sussidi ed attribuzione di vantaggi economici.
Di interesse appare, anche, l’elencazione degli atti di concessione di benefici economici a determinate categorie che non possono essere pubblicati:
- dati identificativi dei soggetti beneficiari di importi inferiori ad € 1.000,00 nell’anno solare;
- informazioni idonee a rilevare stato di salute e situazione di disagio economico-sociale;
- dati eccendenti o non pertinenti.
In punto di bilanciamento di interessi, un eccesso di pubblicità può comportare la commistione tra informazioni realmente significative ed altre del tutto inutili, così pregiudicando il controllo diffuso sull'esercizio del potere e determinando il pericolo di forme massive di sorveglianza.
Ebbene, a fini di trasparenza è necessario un approccio qualitativo e non meramente quantitativo: meno dati più qualificati.
Secondo il Garante la regola del "pari rango" per i dati ipersensibili, impone che, ove siano coinvolti dati sanitari o sulla vita sessuale, l'accesso è ammesso solo per la tutela di una situazione giuridicamente rilevante di rango "almeno pari" o di un "altro" diritto o libertà fondamentale e inviolabile.
Tale previsione andrebbe, poi, completata con un generale divieto di comunicazione di dati sensibili o giudiziari nonché di dati personali di minorenni.
Ciò detto, il G.D.P.R. non contiene una formale bipartizione tra titolari pubblici e privati né norme specifiche dedicate al settore privato e pubblico, concentrandosi, in via generale, sulle condizioni di liceità del trattamento (artt. 6 e 9, comma 2, per i dati sensibili); alcune di esse riguardano esclusivamente lo svolgimento di attività pubbliche.
Il nuovo Regolamento europeo non contiene la suddivisione tra condizioni di liceità applicabili a soggetti privati ed a soggetti pubblici, come prevedeva il Capo II del “Codice Privacy” (ad eccezione del settore sanitario, l’istituto del consenso costituiva elemento distintivo tra titolari privati e titolari pubblici).
Tra gli stessi presupposti di liceità del trattamento dei dati personali, il G.D.P.R., all’art. 6, lett. e), prescrive la necessità del trattamento per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, caso tipico, naturalmente, dell’ente pubblico[3].
L’art. 9 del G.D.P.R., tra le eccezioni al divieto generale di trattare dati personali sensibili, comprende i trattamenti necessari a:
- esercitare o difendere un diritto in sede giudiziaria;
- soddisfare motivi di interesse pubblico;
- finalità di medicina preventiva e di medicina del lavoro
- soddisfare motivi di interesse pubblico nel settore della sanità pubblica;
- finalità di archiviazione del pubblico interesse, nei settori di ricerca scientifica, storica o statistica.
L’art. 10 del G.D.P.R. prevede che il trattamento dei dati giudiziari debba avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento sia autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Quindi, un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
L’art. 23 del G.D.P.R. assume, poi, un’indubbia rilevanza in materia pubblicistica: il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante specifiche misure legislative, la portata di alcuni fondamentali obblighi e diritti degli interessati qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare tra gli altri:
Tanto argomentato, si ricorda che il Garante per la privacy ha vietato al Comune di Messina la diffusione sul sito web delle graduatorie di persone invalide o in stato di disagio che hanno usufruito di esenzioni o riduzioni della tassa sui rifiuti dell’annualità 2015.
In seguito a segnalazione, il Garante ha accertato che due graduatorie, consultabili e scaricabili liberamente da alcuni link presenti sul sito del Comune, evidenziavano dati e informazioni personali di circa 3.500 persone, ordinati in base alla situazione economica. Il primo elenco conteneva nome e cognome, la data di nascita, il codice fiscale, il numero dei componenti del nucleo familiare, con reddito Isee familiare fino a ottomila euro; il secondo elenco conteneva i medesimi dati personali di altre persone invalide al cento per cento e con Isee fino a diecimila euro. Il Garante, in base alla normativa sulla privacy e sulla trasparenza, riteneva illegittimo il trattamento, vietando l’ulteriore diffusione dei dati sullo stato di salute e delle informazioni sulle situazioni di disagio economico e sociale dei beneficiari. Imponeva al Comune di adottare in futuro opportuni accorgimenti nella pubblicazione degli atti e dei documenti on line, al fine di rispettare il divieto stabilito dalla normativa di diffondere questo tipo di dati[4].
Al fine di allargare l’ambito di osservazione sul tema, è utile offrire alcune osservazioni dal punto di vista del C.A.D., un sistema organico di norme relativo all’uso delle tecnologie informatiche e telematiche nella pubblica amministrazione. Sancisce i diritti dei cittadini e delle imprese in materia di uso delle tecnologie nei rapporti con le Amministrazioni. Contiene definizioni il cui ambito di applicazione si estende dal diritto amministrativo ad altri settori del diritto, sia civile che processuale, ed in particolare al processo telematico.
Detto principio è stato chiarito nella recente riforma, la quale ha previsto che «le disposizioni del presente Codice si applicano altresì al processo civile, penale, amministrativo, contabile e tributario, in quanto compatibili e salvo che non sia diversamente disposto dalle disposizioni in materia di processo telematico» (art. 2, u.c., C.A.D.)
Il Codice dell’Amministrazione digitale (C.A.D.), adottato con il d.lgs. 7 marzo 2005, n. 82, è entrato in vigore il 1 gennaio 2006; successivamente, ha subito interventi di riforma con il d.lgs. 30 dicembre 2010, n. 235, con il d.l. 18 ottobre 2012, n. 179, il d.lgs. 26 agosto 2016, n. 179 e da ultimo con il d.lgs. 13 dicembre 2017, n. 217.
Le due più recenti riforme hanno inciso in misura rilevante sul testo, riscrivendone ampie parti con il dichiarato intento di armonizzare le disposizioni interne con il Regolamento U.E. n. 910/2014 (c.d. Regolamento eIDAS).
Per comprendere la portata di molte norme del Codice è indispensabile la conoscenza della disciplina normativa e delle regole tecniche emanate nel corso degli anni, posto che soltanto la piena applicazione di esse potrà portare a compimento il processo di piena digitalizzazione della p.a..
Ebbene, il Codice dell’Amministrazione digitale non fornisce più le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, occorrendo per tali tipologie di firma osservare quanto previsto nell'art. 3, nn. 10, 11 e 12 Reg. eIDAS.
Resta ferma la previsione normativa sulla firma digitale (art. 1, lett. s) ed è stato, altresì, modificato l’art. 21 C.A.D. con l’intervento normativo dell’anno 2017.
Resta invariata, inoltre, la distinzione relativa alla diversa efficacia che possiedono le firme digitali (o elettroniche qualificate) e le firme elettroniche avanzate.
Riguardo alla conservazione sostitutiva dei documenti informatici, l'art. 43 del C.A.D. sancisce il principio che i documenti degli archivi, le scritture contabili, la corrispondenza ed ogni atto, dato o documento di cui è prescritta la conservazione per legge o regolamento, ove riprodotti su supporti informatici sono validi e rilevanti a tutti gli effetti di legge, se la riproduzione è effettuata in modo da garantire la conformità dei documenti agli originali nel rispetto delle regole tecniche stabilite ai sensi dell'articolo 71.
Inoltre, al comma 1-bis dell’art. 43 è sancito che se il documento informatico è conservato per legge da uno dei soggetti di cui all'articolo 2, comma 2, cessa l'obbligo di conservazione a carico dei cittadini e delle imprese che possono in ogni momento richiedere accesso al documento stesso.
L'art. 44 del C.A.D., nella sua nuova formulazione, determina i requisiti del sistema di gestione informatica e conservazione dei documenti informatici della pubblica amministrazione:
a) l'identificazione certa del soggetto che ha formato il documento e dell'amministrazione o dell'area organizzativa omogenea di riferimento di cui all'articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
b) la sicurezza e l'integrità del sistema e dei dati e documenti presenti;
c) la corretta e puntuale registrazione di protocollo dei documenti in entrata e in uscita;
d) la raccolta di informazioni sul collegamento esistente tra ciascun documento ricevuto dall'amministrazione e i documenti dalla stessa formati;
e) l'agevole reperimento delle informazioni riguardanti i documenti registrati;
f) l'accesso, in condizioni di sicurezza, alle informazioni del sistema, nel rispetto delle disposizioni in materia di tutela dei dati personali;
g) lo scambio di informazioni, ai sensi di quanto previsto dall'articolo 12, comma 2, con sistemi di gestione documentale di altre amministrazioni al fine di determinare lo stato e l'iter dei procedimenti complessi;
h) la corretta organizzazione dei documenti nell'ambito del sistema di classificazione adottato;
i) l'accesso remoto, in condizioni di sicurezza, ai documenti e alle relative informazioni di registrazione tramite un identificativo univoco;
j) il rispetto delle regole tecniche di cui all'articolo 71.
Al comma 1-bis viene precisato che il sistema di gestione e conservazione dei documenti informatici è gestito da un responsabile che opera d'intesa con il dirigente dell'ufficio di cui all'articolo 17 del C.A.D., il responsabile del trattamento dei dati personali di cui all'articolo 29 del decreto legislativo 30 giugno 2003, n. 196, ove nominato, e con il responsabile del sistema della conservazione dei documenti informatici, nella definizione e gestione delle attività di rispettiva competenza.
Al comma 1-ter dell'art. 44 del C.A.D. si prevede, inoltre, la possibilità, per il responsabile della conservazione, di chiedere la conservazione dei documenti informatici o la certificazione della conformità del relativo processo di conservazione a quanto stabilito dalla normativa ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.
Tali soggetti così come previsto dall'art. 44 bis del C.A.D., possono chiedere l'accreditamento presso l’Agenzia per l’Italia Digitale (prima DigitPA) al fine di ottenere il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, nel campo specifico della conservazione dei documenti informatici e della certificazione dei relativi processi anche per conto di terzi.
In particolare, la circolare dell’AgID n. 65/2014 ha dettato le modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e che intendono conseguire i riconoscimenti più elevati in termini di qualità e sicurezza prevedendone l’iscrizione in un apposito elenco pubblico.
Difatti, possono richiedere l’accreditamento i conservatori di cui all’art. 44-bis del C.A.D. che, al fine di conseguire tale riconoscimento, devono:
- dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere l’attività di conservazione;
- utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti: in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della gestione documentale e conservazione documenti informatici e che abbia dimestichezza con le procedure di sicurezza appropriate e che si attenga alle norme del C.A.D. e al D.P.C.M. 3 dicembre 2013 recante le regole tecniche in materia di sistema di conservazione;
- applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate;
- utilizzare sistemi affidabili e sicuri di conservazione di documenti informatici realizzati e gestiti in conformità alle disposizioni e ai criteri, standard e specifiche tecniche di sicurezza e di interoperabilità contenute nelle regole tecniche previste dal C.A.D.;
- adottare adeguate misure di protezione dei documenti idonee a garantire la riservatezza, l’autenticità, l’immodificabilità, l'integrità e la fruibilità dei documenti informatici oggetto di conservazione, come descritte nel manuale di conservazione, parte integrante del contratto/convenzione di servizio.
Il conservatore, se soggetto privato, in aggiunta a quanto previsto dai precedenti punti, deve inoltre:
- avere forma giuridica di società di capitali e un capitale sociale di almeno 200.000 Euro;
- garantire il possesso, oltre che da parte dei rappresentanti legali, anche da parte dei soggetti preposti alla amministrazione e da parte dei componenti degli organi preposti al controllo, dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche ai sensi dell'articolo 26 del decreto legislativo 1 settembre 1993, n. 385 recante “Testo unico delle leggi in materia bancaria e creditizia”.
Questi principi sono stati ripresi ed approfonditi da tre decreti della Presidenza del Consiglio dei Ministri adottati in attuazione di alcune disposizioni del Codice dell'amministrazione digitale, che dettano le regole tecniche in materia di protocollazione formazione, conservazione e trasmissione dei documenti informatici.
Si fa riferimento, in particolare, al D.P.C.M. del 3 dicembre 2013 che detta le “Regole tecniche per il protocollo informatico ai sensi degli articoli 40-bis, 41, 47, 57-bis e 71, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005”, al D.P.C.M. sempre del 3 dicembre 2013 che detta le “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23- ter, comma 4, 43, commi 1 e 3, 44 , 44-bis e 71, comma 1, del Codice dell'amministrazione digitale di cui al decreto legislativo n. 82 del 2005” ed al D.P.C.M. del 13 novembre 2014 che detta le regole tecniche per i documenti informatici previste dall'art. 20, commi 3 e 4, dall'art. 22, commi 2 e 3, dall'art. 23, e dall'art. 23-bis, commi 1 e 2 e dall’art. 23-ter del Codice dell’Amministrazione Digitale (d.lgs. n. 82/2005).
In particolare, il decreto sulla conservazione sostitutiva apportando modifiche alla deliberazione C.N.I.P.A. n. 11/2004 ha introdotto il concetto di "sistema di conservazione", che assicura la conservazione a norma dei documenti elettronici e la disponibilità dei fascicoli informatici, stabilendo le regole, le procedure, le tecnologie e i modelli organizzativi da adottare per la gestione di tali processi.
Viene, inoltre, disciplinata in modo più accurato la figura del responsabile della conservazione sostitutiva che definisce ed attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia in relazione al modello organizzativo di conservazione adottato.
Ogni pubblica amministrazione sarà tenuta ad adottare anche un manuale di conservazione che dovrà illustrare dettagliatamente l’organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate ed ogni altra informazione utile alla gestione ed alla verifica del funzionamento del sistema di conservazione.
In particolare, è necessario indicare:
- i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo in modo puntuale, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;
- la struttura organizzativa comprensiva delle funzioni, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;
- la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva dell’indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti e delle eventuali eccezioni;
- la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;
- la descrizione del processo di conservazione e del trattamento dei pacchetti di archiviazione;
- la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;
- la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione e di evoluzione delle medesime;
- la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi con l’evidenza delle soluzioni adottate in caso di anomalie;
- la descrizione delle procedure per la produzione di duplicati o copie;
- i tempi entro i quali le diverse tipologie di documenti devono essere scartate ovvero trasferite in conservazione, ove, nel caso delle pubbliche amministrazioni, non già presenti nel manuale di gestione;
- le modalità con cui viene richiesta la presenza di un pubblico ufficiale, indicando anche quali sono i casi per i quali è previsto il suo intervento;
- le normative in vigore nei luoghi dove sono conservati i documenti.
Infine, poiché nel settore specifico degli accreditamenti il decreto di riforma del C.A.D. ha modificato l’art. 29, comma 1, del Codice per cui “I soggetti che intendono avviare la prestazione di servizi fiduciari qualificati o svolgere l’attività di gestore di posta elettronica certificata, di gestore dell’identità digitale di cui all'articolo 64, di conservatore di documenti informatici di cui all'articolo 44-bis presentano all'AgID domanda, rispettivamente, di qualificazione o di accreditamento, allegando alla stessa una relazione di valutazione della conformità rilasciata da un organismo di valutazione della conformità accreditato dall'organo designato ai sensi del Regolamento CE 765/2008 del Parlamento europeo e del Consiglio del 9 luglio 2008 e dell'articolo 4, comma 2, della legge 23 luglio 2009, n. 99”
Note e riferimenti bibliografici
[1] Articolo 4, comma 1, lettera d), D.Lgs. n. 196 del 2003
(…) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (…)
Articolo 9 G.D.P.R.
Trattamento di categorie particolari di dati personali
1.È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
2.Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1;
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato;
c) il trattamento è necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
d) il trattamento è effettuato, nell'ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l'associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano comunicati all'esterno senza il consenso dell'interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale;
j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.
4.Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.
Articolo 10 G.D.P.R.
Trattamento dei dati personali relativi a condanne penali e reati
Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica.
[2] cfr. provvedimento del 15 maggio 2014
[3] Art. 6, lett. e), G.D.P.R.
(…) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (…)
[4] Pubblicazione su un sito web istituzionale di dati identificativi di persone fisiche destinatarie di benefici economici da cui è possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale - 12 aprile 2018 [Provvedimento inibitorio del Garante Privacy iscritto al n. 213 del Registro dei provvedimenti, Doc. Web n. 8576011]. Di seguito taluni stralci della decisione del Garante:
[…] RILEVATA, pertanto, l'illiceità dei citati trattamenti di dati personali effettuati dal Comune di Messina, avvenuti in maniera non conforme alla disciplina rilevante in materia di protezione dei dati personali (artt. 19, comma 3; 22, comma 8; nonché art. 26, comma 4, del d. lgs. n. 33/2013); CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, ha il compito di «vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco», nonché «di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento di dati personali»;
RITENUTO necessario, in ragione dell'illiceità del trattamento effettuato, vietare al Comune di Messina, ai sensi dei citati artt. 143, comma 1, lett. c), e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione – sia attraverso la pubblicazione nell'area denominata «...» che in qualsiasi altra parte del sito web istituzionale – dei dati personali contenuti negli allegati – intitolati «...» ed «...» – alla citata Determinazione del Dirigente del Dipartimento Politiche sociali n. XX del XX, scaricabili anche dall'url http://...;
CONSIDERATO, inoltre, che il Garante, ai sensi degli artt. 143, comma 1, lett. b), e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere, anche d'ufficio, «le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti»;
RITENUTO, pertanto, necessario prescrivere per il futuro al Comune di Messina di adottare gli opportuni accorgimenti nella pubblicazione di atti e documenti online al fine di rispettare il divieto di diffondere dati identificativi di persone fisiche destinatarie di benefici economici da cui è possibile ricavare informazioni relative allo stato di salute e alla situazione di disagio economico-sociale (artt. 22, comma 8; 19, comma 3, del Codice; art. 26, comma 4, del d. lgs. n. 33/2013. Cfr. anche Linee guida, cit., parte prima, par. 2, par. 9.e.; parte seconda, par. 1);
____________
Di seguito alcuni contributi in materia GDPR già pubblicati sulla Rivista
Vincenzo Russo: "Il decreto legislativo attuativo del GDPR: tutte le novità in vigore dal 19 settembre" - 7 ottobre 2018;
Pietro Cucumile: "La tutela comunitaria ed italiana della privacy" - 22 settembre 2018;
Pietro Cucumile: "Il G.D.P.R. e la tutela della riservatezza dei dati personali" - 1 agosto 2018;
Francesco Giuseppe Ibba: "Brevi riflessioni sul rapporto tra privacy, trasparenza amministrativa e accountability alla luce del GDPR" - 3 luglio 2018.