Garante Privacy

Tracciamento elettronico degli sciatori. Il Garante per la privacy dice no al servizio Daily-ski-times check di Dolomiti Superski

Un interessante servizio ideato da Dolomiti Superski consente allo sciatore di verificare su Internet i dati relativi alla propria performance sciistica, sistematicamente tracciata da un chip presente sullo skipass.

Il servizio in questione, denominato “Daily-Ski-Times-Check“, si è imbattutto tuttavia in un provvedimento del Garante per la privacy, che ne ha decretato la sospensione per via della possibile contrarietà alle norme vigenti in materia di protezione dei dati personali.

La sospensione del servizio risulta anche dalla pagina Internet ad esso dedicata sul sito di Dolomiti Superski, ove alla data di oggi (28/01/2010) si legge la seguente dicitura (cfr. immagine):

Daily-Ski-times check. Check della propria performance sciistica

A seguito dell’intervento del Garante per la Protezione dei Dati personali ed in attesa di specifici chiarimenti il servizio è sospeso”.

La notizia è stata diramata anche dalla stampa locale (“Privacy degli sciatori. Il Garante blocca il Grande Fratello del DOlomiti Superski”):

“Il Dolomiti Superski ha momentaneamente sospeso il servizio daily check, quello grazie al quale gli utenti, collegandosi al sito internet www.dolomitisuperski.com, attraverso il codice del loro skipass potevano “ricostruire” la loro sciata, con i dati relativi al chilometraggio ed al dislivello raccolti al passaggio dagli impianti di risalita.

(…)

I responsabili del consorzio di impiantisti hanno ora 30 giorni di tempo per chiedere un incontro al garante, in occasione del quale contano di chiarire ogni aspetto della vicenda”.

Nell’articolo in questione viene riportata la posizione del Direttore di Dolomiti Superski:

«Il nostro è un normalissimo sistema di registrazione dei passaggi, come quelli adottati in tutto il resto del mondo», commenta il direttore del Dolomiti Superski, Franz Perathoner, che non nasconde una certa sorpresa per la contestazione arrivata dal garante. «I controlli risalgono addirittura al febbraio dell’anno scorso – spiega Perathoner -. Guardia di Finanza e garante avevano diffuso in proposito una nota, pubblicata anche dall’Alto Adige, con la quale riconoscevano la sostanziale osservanza della normativa vigente. Ci erano state chieste ulteriori delucidazioni, ma sembrava tutto in ordine. Il 7 gennaio, quasi un anno dopo, ci è invece arrivata la contestazione».

Ma qual è, nella sostanza, l’obiezione del garante? «Sostiene che dovremmo informare gli sciatori che il loro passaggio viene registrato, ma lo abbiamo già fatto. Mi spiego: ci sono due tipi di skipass, quelli fino a sette giorni e quelli “ricaricabili”. Per questi ultimi richiediamo i dati anagrafici dell’utente, anche per applicare gli sconti per over 65 e under 16. Ma per il trattamento dei dati, facciamo firmare il consenso».

Perathoner respinge poi la tesi che il daily check sia una sorta di Grande Fratello delle piste da sci. «Non è mica la videosorveglianza, non abbiamo l’equalizzazione geografica dello sciatore. Il tornello si apre solo se l’utente ha un certo biglietto, noi dobbiamo poter controllare se è valido. Se il daily check non si potrà più riattivare, non lo riattiveremo – conclude Perathoner -, ma vorrei sottolineare che nella stagione 2008/2009 furono 400 mila gli sciatori che se ne servirono. E dalla sospensione del servizio riceviamo 20/30 e-mail di protesta al giorno».

Seguiremo insieme l’evolversi della vicenda, che non mancherò di commentare più diffusamente.

Fabio Bravo

www.fabiobravo.it

Foto su Internet. Sfruttamento dell'immagine a fini commerciali senza il consenso dell'interessato

Accade spesso che si approfitti della facile reperibilità su Internet (in particolare sui profili di Facebook e di altri social network) delle immagini che ritraggono persone note e non note per acquisirle senza il consenso dell’interessato o dell’avente diritto ed utilizzarle per scopi diversi.

V’è giurisprudenza consolidata che affronta il tema dell’illiceità dell’utilizzazione dell’immagine altrui, senza il consenso dell’interessato, accordando il relativo risarcimento del danno.

Recentemente sul tema si è espresso anche il Garante per la protezione dei dati personali, il quale ha ribadito, per quanto di sua compentenza, il principio secondo cui l’utilizzazione per scopi commerciali dell’immagine di un personaggio noto presa da Internet senza il consenso dell’interessato è illecita, in quanto viola anche le disposizioni in materia di protezione dei dati personali e pertanto va inibita.

Il caso riguardava l’utilizzazione, da parte di uno studio dentistico, di un’immagine di un personaggio noto, prelevata da Internet e riprodotta su 50.000 volantini pubblicitari distribuiti per scopi commerciali.

Ovviamente il Garante per la protezione dei dati personali non ha accordato il risarcimento del danno, in quanto, com’è noto, le decisioni in ordine alle richieste risarcitorie attengono alla compentenza dell’autorità giudiziaria, alla quale l’interessato potrà a tal fine rivolgersi ove intendesse ottenere il dovuto ristoro.

La condotta esaminata dal Garante, si noti, viola contemporaneamente sia le norme del codice civile dediate alla tutela dell’imagine, sia quelle contenute nella legge sul diritto d’autore, sia quelle del codice in materia di protezione dei dati personali.

Riporto di seguito il comunicato del Garante, contenuto nella Newsletter n. 333 dell’11 gennaio 2010:

Sfruttamento illecito dell’immagine: stop del Garante
Non è possibile sfruttare commercialmente l’immagine di una persona, anche se nota, senza il suo consenso.

Lo ha stabilito il Garante affrontando il caso di una donna di spettacolo, impegnata anche in politica, che aveva casualmente scoperto la sua fotografia su alcuni volantini pubblicitari utilizzati per reclamizzare servizi odontoiatrici. L’interessata aveva diffidato il centro dentistico dal proseguire il volantinaggio ma, dopo aver scoperto che le pubblicità erano ancora in distribuzione presso una delle sedi dello studio, aveva chiesto l’intervento del Garante.

Dagli accertamenti avviati dall’Autorità è emerso che lo studio professionale aveva scaricato la fotografia della donna da un sito web e, senza il consenso dell’interessata, l’aveva poi stampata su 50.000 volantini.

L’Autorità – anche sulla base di quanto stabilito dalla disciplina sul diritto d’autore – ha sottolineato che la riproduzione e la divulgazione del ritratto di una persona nota senza il suo consenso, anche nel caso in cui si tratta di un’immagine liberamente reperibile su internet, è lecita soltanto se risponde a esigenze di “pubblica informazione” e non ad altre finalità, in particolare quelle commerciali.

Essendo stati violati i principi di liceità e correttezza fissati dal Codice privacy, il Garante ha dunque vietato allo studio dentistico l’ulteriore trattamento, in qualunque forma, della foto della donna, inclusa la distribuzione, presso le diverse sedi, dei volantini già stampati.

L’Autorità ha, inoltre, avviato un autonomo procedimento per l’eventuale contestazione delle sanzioni amministrative relative alle violazioni alla normativa sulla privacy commesse dallo studio dentistico.

Qui, invece, è possibile scaricare il provvedimento del Garante, in versione integrale.

Fabio Bravo

www.fabiobravo.it

Garante per la privacy e Banca dati del DNA. Problema sul tempo di conservazione

Il Garante per la protezione dei dati personali, con un comunicato del 25 maggio 2009, ha reso noto che, in tema di Banca Dati del DNA, si sono conclusi gli adempimenti per la messa in sicurezza dell’archivio dei RIS di Parma.

Ci sarebbe da chiedersi, però, fino ad ora (ossia nelle more dell’attuazione delle misure di sicurezza tecniche ed organizzative richieste dal Garante) che garanzie di sicurezza ha presentato tale archivio.

Come precisato dallo stesso Garante nel suo comunicato,

«L’archivio raccoglie migliaia di profili genetici e campioni biologici acquisiti negli anni nel corso di indagini penali e conservati su disposizione della magistratura.

Le misure, prescritte dal Garante privacy a partire dal 2007, sono volte a rafforzare il livello di protezione di dati personali particolarmente delicati come quelli genetici».

Quanto alle modalità di conservazione, il comunicato precisa che

«Presso il Ris sono detenuti in un archivio informatico profili genetici (costituiti da sequenze alfanumeriche) estratti da reperti rinvenuti in luoghi dove risultavano commessi reati o appartenenti a persone identificate nel corso di indagini (persone sospettate, vittime di reato, operatori di polizia), ma anche campioni biologici, in forma di “estratti di Dna”, che residuano dalle analisi effettuate.

Profili e campioni biologici, se non disposto diversamente dall’autorità giudiziaria, sono conservati a tempo indeterminato per eventuali, ulteriori esigenze investigative».

Qui emerge un dato che sorprende: il tempo di conservazione sia dei profili genetici che dei campioni biologici.

Il comunicato del Garante, come trascritto, dice che gli stessi vengono «conservati a tempo indeterminato» per eventuali ulteriori esigenze investigative «se non disposto diversamente dall’autorità giudiziaria» (ovviamente anche a prescindere dall’esito del giudizio, che, è bene ricordarlo, è eventuale, se, come normalmente avviene, il prelievo viene svolto su incarico della Procura nel corso delle indagini e, ad esempio, la comparazione tra la traccia biologica rinvenuta sul luogo del delitto ed il campione prelevato dall’indagato non abbiano dato risultati positivi: ricordate il caso di Perugia ed il primo indagato Patrik Lumumba, sottoposto a custodia cautelare in carcere ed a prelievo del DNA, risultato poi estraneo alla vicenda? Ricordate lo stupro della Caffarella, ove i due indagati di nazionalità rumena, denominati «il pugile» ed «il biondino», pur a fronte di una confessione, sono poi risultati estranei al reato perché il loro profilo genetico non era compatibile con quello rinvenuto in occasione del delitto? In casi come questi, se la magistratura non dispone diversamente, la conservazione dei profili e dei campioni genetici, anche di persone risultate completamente innocenti, rimarrebbe a tempo indeterminato…).

Dal comunicato del Garante sembra che l’Authority prenda atto della conservazione a tempo indeterminato, confermandone implicitamente la legittimità, giacché nulla obietta in proposito, senza badare, però, che in altra occasione lo stesso Garante per la privacy ha precisato a chiare lettere che la Corte europea dei diritti dell’uomo, con sentenza n. 880 del 4.12.2008, ha dichiarato illecita la conservazione dei profili genetici e del campioni biologici a tempo indeterminato.

Infatti, nella Newsletter n. 317 del 19 dicembre 2008, si trova annotato quanto segue:

«Corte europea dei diritti umani: no a conservazione illimitata del DNA

Conservare senza limiti di tempo profili del Dna, campioni biologici e impronte digitali viola il diritto alla privacy, soprattutto nel caso di minori.

Lo ha stabilito la Corte europea dei diritti dell’uomo, con la sentenza n. 880 del 4.12.2008, definendo il ricorso di due cittadini inglesi, uno dei quali minore, accusati rispettivamente di molestie e di tentato furto, che avevano chiesto invano alla polizia inglese la distruzione delle impronte digitali e dei campioni di Dna raccolti al momento dell’arresto e conservati anche dopo la chiusura, con assoluzione, del procedimento penale a loro carico. I due cittadini si erano visti rigettare la richiesta dalla polizia in base ad una legge nazionale che consente il prelievo e la conservazione di questi campioni senza limiti di tempo nella banca dati inglese del Dna.

La Corte, all’unanimità, ha riconosciuto la violazione del diritto alla vita privata ai sensi dell’articolo 8 della Convenzione Europea dei diritti umani del 1950.

I giudici di Strasburgo hanno sottolineato, in particolare, che i profili di Dna permettono di risalire all’origine etnica e ricostruire i legami familiari, il che rende la conservazione più delicata e suscettibile di ledere il diritto alla riservatezza anche di terzi.

Nella sentenza, inoltre, i giudici europei hanno rilevato che Inghilterra, Galles e Irlanda del Nord sono i soli paesi in Europa a consentire la conservazione illimitata delle impronte digitali e dei prelievi di Dna di qualsiasi persona sospettata di aver commesso un reato, indipendentemente dall’età, natura e gravità del reato specifico. I giudici hanno considerato, poi, particolarmente preoccupante il rischio di stigmatizzazione, derivante dal fatto che persone innocenti siano state trattate alla stregua di criminali. Per tutti questi motivi la Corte ha considerato che la conservazione indiscriminata e senza limiti temporali dei profili del Dna e di altri elementi biometrici costituisce una violazione del diritto al rispetto della vita privata e non può ritenersi accettabile in una società democratica, né proporzionata alle finalità di tutela della sicurezza pubblica.

La Corte ha chiesto alla Gran Bretagna di adottare tutte le misure necessarie per dare seguito alla sentenza».

Ovviamente la Banca Dati del DNA, di fatto già costituita presso i RIS di Parma e di altre città, è un prezioso strumento investigativo per l’accertamento di molti reati e va salutata con favore.

Occorre però prestare grande attenzione per la particolare delicatezza dei dati genetici e per i rischi di violazione dei diritti fondamentali.

Il bilanciamento tra esigenze di sicurezza e repressione dei reati, da una parte, e tutela dei diritti fondamentali, dall’altra, è estremamente delicato. Ogni scelta normativa e tecnica va ponderata con attenzione, per gli effetti, anche inaspettati, che può produrre e per l’impatto che può determinare sulla nostra società.

Sicuramente va regolamentata meglio la materia, con norme di rango legislativo e numerosi sono stati i tentativi, nelle diverse legislature, per approdare ad un testo di legge che mai è arrivato a completare il suo iter parlamentare. I disegni di legge presentati nell’ultima legislatura sono andati a confluire in questo testo (a cui ha fatto seguito un errata corrige).

L’articolato normativo contenuto nella proposta di legge presenta numerosi aspetti che vanno discussi e meritano attente riflessioni. Ritornerò sicuramente in più occasioni sull’argomento.

Quanto alle attuali Banche Dati del DNA già esistenti in Italia, quelle gestite dai RIS di Parma, Roma, Messina e Cagliari per esigenze investigative e di contrasto alla criminalità, il comunicato del Garante conclude precisando che

«Le misure prescritte dal Garante e adottate dal Ris per la messa in sicurezza dei dati sono particolarmente rigorose. Tra le principali figurano l’obbligo di conservare traccia di ogni accesso al database e delle operazioni effettuate dal personale autorizzato che ha accesso ai campioni; l’adozione di sistemi di autenticazione per il personale che accede al database nonché sistemi elettronici (almeno con riconoscimento biometrico) per controllare l’ingresso ai locali dove sono conservati i campioni biologici; l’individuazione preventiva del personale autorizzato alla loro consultazione; l’adozione di soluzioni tali da non rendere i campioni conservati direttamente riconducibili a persone identificate.

Al Ris è stato infine prescritto che l’eventuale ulteriore uso dei profili e dei campioni biologici, compresa l’attività di comparazione tra i profili genetici, deve essere effettuato attenendosi alle disposizioni delle competenti autorità giudiziarie.

Il Comando generale dell’Arma dei Carabinieri ha comunicato, infine al Garante, che le stesse misure sono state applicate, oltre che al Reparto di Parma, anche agli altri Ris di Roma, Messina e Cagliari».

Tuttavia, nelle more del provvedimento legislativo (e, come dimostra la richiamata sentenza della Corte europea dei diritti dell’uomo, anche a prescindere da esso), sul tempo di conservazione sarebbe opportuno, con urgenza, un ulteriore intervento del Garante.

Che ne dite?

Fabio Bravo

www.fabiobravo.it

FAQ in tema di Privacy e Amministratori di sistema. Le risposte del Garante

 La figura degli «Amministratori di Sistema» (ADS), con un’accezione piuttosto estesa, è al centro dell’attenzione del Garante, per il ruolo nevralgico che questi hanno per la società dell’informazione (information society).

Com’è noto, con proprio provvedimento generale del 27 novembre 2008, il Garante è intervenuto a fornire una disciplina specifica sugli «amministratori di sistema», imponendo al titolare del trattamento dei dati personali una serie di adempimenti volti a controllare l’operato degli amministratori medesimi.

Con successivi provvedimenti è stata dapprima differita l’efficacia dell’attuazione di tale provvedimento, ora prevista per il 30 giugno 2009, e successivamente, a seguito di stimolazioni del mondo imprenditoriale, è stata avviata una pubblica consultazione, che dovrebbe concludersi per il 31 maggio 2009.

Sul tema si veda anche questo precedente post, nel quale possono essere recuperati tutti i link ai singoli provvedimenti del Garante.

L’interpretazione del provvedimento del 27 novembre 2008 sugli amministratori di sistema appare tuttavia non sempre agevole. Le difficoltà sono state però fronteggiate, in questa fase iniziale, con le «Risposte alle domande più frequenti (FAQ)», fornite dal Garante agli interrogativi che gli sono stati posti inizialmente.

Di seguito riporto le 24 domande sottoposte al Garante per ottenere chiarimenti sulla portata normativa del provvedimento in questione. Per le risposte, che non trascrivo, rinvio direttamente al documento del Garante, sul proprio sito istituzionale, reperibile a questo link.

Risposte alle domande più frequenti (FAQ)

1) Cosa deve intendersi per “amministratore di sistema”?

2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”

3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?

4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?

5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?

6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.

7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?

8) Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?

9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…)?

10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’ access log?

11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?

12) Come va interpretata la caratteristica di inalterabilità dei log?

13) Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?

14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?

15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?

16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?

17) Cosa si intende per “consultazione in chiaro”?

18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?

19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?

20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?

21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?

22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?

23) Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.

24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?

Molti dei chiarimenti forniti con le risposte alle predette domande sono sicuramente preziosi per orientarsi nella lettura del provvedimento,  che presenta diversi aspetti critici, di non immediata soluzione.

Le FAQ si rivelano un utile strumento per chi, nella prassi, deve adeguarsi alla normativa in questione. Le risposte sono state fornite, tuttavia, il 21 maggio 2009, come emerge attualmente dall’homepage del sito istituzionale del Garante e nel provvedimento relativo all’avvio della consultazione pubblica.

Pur costituendo un importante ausilio, le FAQ dovrebbero essere lette, pertanto, unitamente all’ulteriore prezioso riscontro che verrà dato a seguito delle pubbliche consultazioni, che si chiuderanno alla fine del mese.

Fabio Bravo

www.fabiobravo.it

Intervento di Polizia Postale e Garante per le foto dei pazienti di Udine su Facebook

Come si apprende dal comunicato stampa del Garante per la privacy, in relazione all’episodio relativo alla diffusione su Facebook delle foto di pazienti dell’Ospedale di Santa Maria della Misericordia di Udine da parte di un’infermiera, l’Ospedale ha segnalato il tutto alla Polizia Postale, per quanto di sua competenza, probabilmente anche ai fini dell’eventuale accertamento sull’utilizzo dei computer da cui sarebbe stato effettuato l’up-loading delle immagini.

Anche il Garante ha avviato le indagini.

Dalle dichiarazioni dell’infermiera, questa avrebbe sostenuto di aver utilizzato il computer domestico e di aver comunque provveduto ad eliminare le immagini in questione dal proprio profilo su Facebook.

Il Garante, ad ogni modo, ha precisato che

«da parte sua proseguirà l’attività di accertamento sul rispetto della normativa sulla protezione dei dati personali, anche ai fini di un’eventuale applicazione di sanzioni nei confronti di chi sarà ritenuto responsabile della violazione dei diritti dei ricoverati e delle altre persone coinvolte».

Qui sorgono questioni interessanti sotto il profilo giuridico, per via delle responsabilità che i pazienti potrebbero eventualmente invocare non solo direttamente nei confronti dell’infermiere, ma anche, ove ne sussistano i presupposti, nei confronti dell’Ospedale presso cui erano in cura.

E’ noto, tuttavia, che per le richieste di risarcimento del danno da illecito trattamento di dati personali non possono essere perorate innanzi al Garante per la protezione dei dati personali, essendo la compentenza riservata in via esclusiva all’autorità giudiziaria ordinaria.

Fabio Bravo

www.fabiobravo.it

Privacy e misure sugli Amministratori di sistema. Indetta la consultazione del Garante per determinare le modalità di attuazione

Con un provvedimento apparso in G.U. dell’8 maggio 2009, il Garante per la protezione dei dati personali è intervenuto ancora una volta in materia di «amministratori di sistema», impiegando un’accezione molto estesa fino a ricomprendere anche gli amministratori di rete, di db e di software dotati di una certa complessitità (cfr. anche questo post).

Dopo aver adottato un provvedimetno generale in data 27 novembre 2008 (qui in PDF), nel quale venivano prescritte nuove misure per i titolari del trattametno di dati personali finalizzate a gestire il rapporto con gli amministratori di sistema e controllarne l’attività, e dopo aver prorogato il termine di attuazione del provvedimento da aprile a fine giugno, il Garante decide ora di avviare, fino al 31 maggio 2009, una consultazione pubblica sull’attuazione delle misure concernenti l’amministratore di sistema, riportate al punto n. 2 del citato provveddimento del 27 novembre 2008, che di seguito si trascrive:

«2. ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici, anche in ambito giudiziario e di forze di polizia (artt. 46 e 53 del Codice), salvo per quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che pongono minori rischi per gli interessati e sono stati oggetto delle misure di semplificazione introdotte di recente per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008):

a. Valutazione delle caratteristiche soggettive

L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

b. Designazioni individuali

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell’ordinamento che disciplinino uno specifico settore.

d. Servizi in outsourcing

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

f. Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi»

Si tenga presente che la pubblica consultazione è stata avviata a seguito

«di quanto emerso a seguito di alcuni incontri svoltisi presso l’Autorità con alcune associazioni rappresentative di categoria e, in particolare, con Asstel in data 19 marzo 2009, Confindustria in data 20 aprile 2009 e Abi in data 21 aprile 2009, e delle memorie e quesiti pervenuti anche da parte di singoli titolari del trattamento, a seguito dei quali sono state predisposte alcune faq (risposte a quesiti posti più frequentemente) da pubblicare sul sito dell’Autorità www.garanteprivacy.it».

Ai fini della pubblica consultazione, il Garante ha deliberato

«di attivare le procedure necessarie volte ad acquisire osservazioni e commenti da parte dei titolari del trattamento ai quali il provvedimento si rivolge con esclusivo riferimento a quanto prescritto al punto 2 del dispositivo del provvedimento del 27 novembre 2008.

Osservazioni e commenti potranno pervenire entro il 31 maggio 2009 all’indirizzo dell’Autorità di Piazza di Monte Citorio n. 121, 00186 Roma, ovvero all’indirizzo di posta elettronica: ads@garanteprivacy.it».

Fabio Bravo

www.fabiobravo.it

«Social Network: attenzione a non cadere nella rete»

Per celebrare la Giornata europea della protezione dei dati personali, il 28 gennaio 2009 si terrà a Milano una manifestazione dal titolo «Social Network: attenzione a non cadere nella rete».

Nel comunicato stampa rilasciato dal Garante, si precisa che

É al fenomeno di Facebook, MySpace e altri social network che il Garante per la protezione dei dati personali dedica quest’anno la Giornata Europea della protezione dei dati personali.

I social network rappresentano certamente straordinari strumenti di innovazione sociale, con i quali un numero crescente di persone si scambia opinioni e informazioni, ma vengono troppo spesso usati senza una completa conoscenza delle incognite che presentano e dei rischi che comportano.

L’Autorità ha dunque deciso di avviare un confronto con gli studenti su uno degli aspetti cruciali che riguardano oggi l’uso della Rete.

La manifestazione, organizzata in collaborazione con l’Alta scuola in Media, Comunicazione e Spettacolo (Almed) della Università Cattolica, si svolgerà a Milano il 28 gennaio, dalle ore 10,30 alle ore 13,30, presso l’Università Cattolica del Sacro Cuore, in Largo Gemelli. Ai lavori parteciperanno i componenti dell’Autorità Garante e docenti della Cattolica.

(…)

L’iniziativa, promossa dal Consiglio d’Europa con il sostegno della Commissione europea e di tutte le Autorità che nei Paesi europei sono preposte alla protezione dei dati, è volta a sensibilizzare i cittadini sulla dignità, sui diritti e sulle libertà fondamentali da salvaguardare rispetto all’uso delle informazioni di carattere personale.

Ecco il programma dell’evento.

Dati genetici. Autorizzazione prorogata

 A fine anno, in un comunicato stampa del 29.12.08, il Garante per la protezione dei dati personali annuncia la proroga, per tutto il nuovo anno (fino al 31.12.09), dell’efficacia dell’autorizzazione al trattamento dei dati genetici già rilasciata in data 22.2.07 (questa, infatti,aveva un’efficacia temporale transitoria fino all’ultimo giorno dell’anno appena trascorso).

Il comunicato avverte che la proroga dell’efficacia di tale autorizzazione è avvenuta «senza sostanziali modifiche» e che il provvedimento è in corso di pubblicazione in gazzetta ufficiale.

Seguiremo l’argomento, che mi interessa particolamente, in successivi post.

Per ora riporto il link all’autorizzazione del 2007 (ove si trova anche il testo in inglese) e, di seguito, la trascrizione integrale del provvedimento, per una maggiore facilità di consultazione. 

 

Autorizzazione al trattamento dei dati genetici – 22 febbraio 2007
Gazzetta Ufficiale n. 65 del 19 marzo 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il decreto legislativo 30 giugno 2003 n. 196, recante il Codice in materia di protezione dei dati personali nel seguito denominato “Codice”;

Visto, in particolare, l’art. 90, comma 1, del citato Codice, secondo cui il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute che acquisisce, a tal fine, il parere del Consiglio superiore di sanità;

Visto, altresì, l’art. 90, comma 2, del Codice, in base al quale l’autorizzazione individua anche gli ulteriori elementi da includere nell’informativa ai sensi dell’art. 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi;

Vista l’autorizzazione generale del Garante  n. 2/2005 che richiama espressamente (punto 1.4) l’autorizzazione  n. 2/2002 (punto 2, lett. b)), relativa al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, secondo la quale i dati genetici trattati per fini di prevenzione, di diagnosi o di terapia nei confronti dell’interessato, ovvero per finalità di ricerca scientifica, “possono essere utilizzati unicamente per tali finalità o per consentire all’interessato di prendere una decisione libera e informata, ovvero per finalità probatorie in sede civile o penale, in conformità alla legge”;

Considerata la necessità di assicurare, nella disciplina del trattamento dei dati personali, un elevato livello di tutela per i diritti e le libertà fondamentali, nonché per la dignità delle persone e, in particolare, per il diritto alla protezione dei dati personali sancito all’art. 1 del Codice; ciò, anche riducendo al minimo i rischi di danno o di pericolo valutati sulla base delle raccomandazioni adottate in materia di dati sanitari dal Consiglio d’Europa e, in particolare, dalla Raccomandazione n. R(97) 5; rilevato che in base a quest’ultima sono considerati dati genetici tutti i dati, di qualunque tipo, che riguardano i caratteri ereditari di un individuo o che sono in rapporto con i caratteri che formano il patrimonio di un gruppo di individui affini (par. 1), dati che, nel quadro della più ampia categoria dei “dati sanitari”, possano essere trattati solo a determinate condizioni (par. 1);

Rilevato che la Raccomandazione del Consiglio d’Europa n. R(92) 3 sui test e gli screening genetici a fini di cura afferma (principio n. 8) che la raccolta e la conservazione di sostanze e di campioni biologici, così come il trattamento dei dati che ne derivano, devono essere effettuati in conformità ai principi fondamentali di protezione e di sicurezza dei dati stabiliti dalla Convenzione per la protezione degli individui con riguardo al trattamento automatizzato dei dati personali n. 108 del 28 gennaio 1981, nonché dalle pertinenti raccomandazioni del Comitato dei ministri in materia;

Rilevato che, riguardo al trattamento dei dati genetici, sono desumibili altri importanti princìpi da alcune fonti internazionali e comunitarie tra le quali figurano:

a) la Convenzione sui diritti dell’uomo e sulla biomedicina, fatta a Oviedo il 4 aprile 1997, che vieta qualsiasi forma di discriminazione nei confronti di una persona in ragione del suo patrimonio genetico (art. 11) e limita l’espletamento di test genetici predittivi ai soli fini medici o di ricerca medica e sulla base di una consulenza genetica appropriata (art. 12);

b) la Dichiarazione universale sul genoma umano e i diritti umani dell’Unesco dell’11 novembre 1997, che sancisce il diritto della persona al rispetto della dignità e dei propri diritti indipendentemente dalle sue caratteristiche genetiche (art. 2) e vieta ogni discriminazione basata sulle caratteristiche genetiche che abbia per fine o sortisca l’effetto di violare i diritti umani, le libertà fondamentali e la dignità umana (art. 6);

c) la Carta dei diritti fondamentali dell’Unione europea, proclamata a Nizza il 7 dicembre 2000, che vieta qualsiasi forma di discriminazione fondata, in particolare, sulle caratteristiche genetiche (art. 21);

d) la direttiva 2004/23/Ce del Parlamento europeo e del Consiglio del 31 marzo 2004, che prescrive l’adozione di misure necessarie di protezione dei dati, compresi quelli genetici, e di altre misure di salvaguardia relativamente ad informazioni raccolte nell’ambito di attività di donazione, approvvigionamento, controllo, lavorazione, conservazione, stoccaggio e distribuzione di tessuti e cellule umani destinati ad applicazioni sull’uomo, nonché di prodotti fabbricati derivati da tessuti e cellule umani destinati ad applicazioni sull’uomo (art. 14);

e) la Convenzione sui diritti dell’uomo e sulla biomedicina (art. 10), la Dichiarazione universale sul genoma umano e i diritti dell’uomo (art. 5, lett. c)) e la Dichiarazione internazionale sui dati genetici umani dell’Unesco (art. 10), le quali riconoscono, con diverso ambito, il diritto di ogni individuo di essere o non essere informato dei risultati degli esami genetici e delle loro conseguenze (ovvero dei risultati della ricerca medica e scientifica laddove i dati genetici, i dati proteomici dell’individuo o i campioni biologici siano utilizzati per tali scopi);

f) il Codice di condotta dell’Organizzazione internazionale del lavoro sulla protezione dei dati personali dei lavoratori (novembre 1996), in base al quale lo svolgimento di screening genetici sui lavoratori dovrebbe essere vietato o limitato a casi specifici autorizzati espressamente dalla legge (art. 6.12);

g) la Dichiarazione di Helsinki dell’Associazione medica mondiale (giugno 1964 e successive modificazioni), in base alla quale occorre acquisire l’assenso della persona legalmente incapace, in aggiunta a quello del legale rappresentante, laddove la stessa sia in grado di esprimere il proprio assenso a partecipare ad una ricerca (par. 25);

h) il documento di lavoro sui dati genetici adottato il 17 marzo 2004 ( Wp 91) dal Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, istituito dall’art. 29 direttiva n. 95/46/Ce  che, nell’individuare le necessarie garanzie in materia di dati genetici, afferma la necessità di prendere in considerazione e di disciplinare anche lo statuto giuridico dei campioni biologici, suscettibili anch’essi di costituire una fonte di dati personali;

Vista la legge 19 febbraio 2004, n. 40, recante “Norme in materia di procreazione medicalmente assistita”;

Visto, altresì, l’Accordo del 15 luglio 2004 tra il Ministro della salute, le regioni e le province autonome di Trento e Bolzano sul documento recante le “Linee-guida per le attività di genetica medica” (in G.U.  23-9-2004, n. 224 );

Visto il d.lg. 19 agosto 2005, n. 191, di attuazione della direttiva n. 2002/98/Ce, che stabilisce norme di qualità e di sicurezza per la raccolta, il controllo, la lavorazione, la conservazione e la distribuzione del sangue umano e dei suoi componenti;

Vista la legge 21 ottobre 2005, n. 219, che disciplina le attività trasfusionali e la produzione nazionale degli emoderivati, nonché, l’ordinanza del Ministro della salute del 13 aprile 2006 recante “Misure urgenti in materia di cellule staminali da cordone ombelicale” (in G.U. 9-5-2005, n. 106 );

Considerato che, ai sensi degli artt. 76 e 81 del Codice, gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono trattare i dati personali idonei a rivelare lo stato di salute per finalità di tutela della salute o dell’incolumità fisica dell’interessato solo con il consenso di quest’ultimo, oppure (quando occorre tutelare la salute o l’incolumità fisica di un terzo o della collettività) anche senza il consenso dell’interessato, ma previa autorizzazione del Garante;

Considerato che gli artt. 77, 78 e 79 del Codice prevedono modalità semplificate per l’informativa di cui all’art. 13 del medesimo Codice da parte degli esercenti la professione sanitaria e degli organismi sanitari pubblici;

Visto il provvedimento del Garante del  19 luglio 2006 (in www.garanteprivacy.it, doc. web n.  1318699), con il quale, ai sensi degli artt. 78, comma 3, e 13, comma 3, del Codice, sono stati indicati gli elementi essenziali che il medico di medicina generale e il pediatra di libera scelta devono includere nell’informativa da fornire all’interessato relativamente al trattamento dei dati personali;

Considerato che, ai sensi degli artt. 23 e 26 del Codice, i privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione del Garante e, ove richiesto, con il consenso scritto dell’interessato;

Considerato che un elevato numero di trattamenti di dati genetici è effettuato per finalità di prevenzione, di diagnosi o di terapia nei confronti dell’interessato e per finalità di ricerca scientifica;

Considerato che l’art. 40 del Codice prevede il rilascio di autorizzazioni di carattere generale relative a determinate categorie di titolari o di trattamenti e che tali autorizzazioni sinora rilasciate sono risultate un idoneo strumento per prescrivere misure uniformi a garanzia degli interessati;

Ritenuto opportuno rilasciare la specifica autorizzazione prevista dall’art. 90 del Codice, in sostituzione delle prescrizioni già impartite in materia di dati genetici con l’autorizzazione generale del Garante  n. 2/2002  richiamata dall’autorizzazione  n. 2/2005;

Ritenuto opportuno prendere in considerazione con separato provvedimento il trattamento dei dati genetici effettuato da parte delle categorie di soggetti pubblici ricompresi nei titoli I, II, e III della parte II del Codice.

Considerato che, fuori dei casi appena indicati, ulteriori trattamenti di dati genetici non ricompresi nella presente autorizzazione non risultano allo stato leciti, anche in riferimento all’attività dei datori di lavoro volta a determinare l’attitudine professionale di lavoratori o di candidati all’instaurazione di un rapporto di lavoro, anche se basata sul consenso dell’interessato, nonché all’attività delle imprese di assicurazione;

Visti gli artt. 41 e 167 del Codice;

Ritenuto opportuno che anche la presente autorizzazione sia a tempo determinato e riservata ogni determinazione in ordine alla sua integrazione o modifica anche in relazione al rapido sviluppo della ricerca e delle tecnologie applicate alla genetica e all’evolversi delle conoscenze nel settore;

Visto, altresì, l’art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;

Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all’Allegato B al medesimo Codice, recanti disposizioni e regole sulle misure di sicurezza;

Sentito il Ministro della salute, che ha acquisito il parere del Consiglio superiore di sanità, ai sensi dell’art. 90 del Codice;

Esaminate le osservazioni formulate, su richiesta del Garante, da parte di qualificati esperti della materia;

Visti gli altri atti d’ufficio;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

autorizza

ai sensi degli articoli 26, 40, 41 e 90 del Codice il trattamento dei dati genetici da parte dei soggetti sottoindividuati, secondo le prescrizioni di seguito indicate.

Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

 

1) Definizioni
Ai fini della presente autorizzazione si intende per:

a) dato genetico,  il dato che, indipendentemente dalla tipologia, riguarda la costituzione genotipica di un individuo, ovvero i caratteri genetici trasmissibili nell’ambito di un gruppo di individui legati da vincoli di parentela;

b) campione biologico, ogni campione di materiale biologico che contiene le informazioni genotipiche caratteristiche di un individuo;

c) test genetico, l’analisi a scopo clinico di uno specifico gene o del suo prodotto o funzione o di altre parti del Dna o di un cromosoma, volta a effettuare una diagnosi o a confermare un sospetto clinico in un individuo già affetto (test diagnostico), oppure a individuare o escludere la presenza di una mutazione associata ad una malattia genetica che possa svilupparsi in un individuo sano (test presintomatico) o, ancora, a valutare la maggiore o minore suscettibilità di un individuo a sviluppare patologie comuni (test predittivo);

d) test farmacogenetico, l’analisi finalizzata all’identificazione di sequenza nel Dna in grado di predire la risposta “individuale” a farmaci in termini di efficacia e di rischio relativo di eventi avversi;

e) test sulla variabilità individuale, l’esame genetico volto a definire un rapporto di consanguineità o ad attribuire tracce biologiche a determinati individui;

f) screening genetico, il test genetico effettuato su popolazioni o su gruppi definiti al fine di delinearne le caratteristiche genetiche comuni o di identificare precocemente soggetti affetti o portatori di patologie genetiche o di altre caratteristiche ereditarie;

g) consulenza genetica, il processo di comunicazione consistente nell’aiutare l’individuo o la famiglia colpita da patologia genetica a comprendere le informazioni mediche che includono la diagnosi e il probabile decorso della malattia, le forme di assistenza disponibili, il contributo dell’ereditarietà al verificarsi della malattia e il rischio di ricorrenza esistente per sé e per altri familiari, nonché tutte le opzioni esistenti nell’affrontare il rischio di malattia e l’impatto che tale rischio può avere su scelte procreative; a tale processo partecipano, oltre al medico e/o al biologo specialisti in genetica medica, altre figure professionali competenti nella gestione delle problematiche psicologiche e sociali connesse alla genetica;

h) informazione genetica, il processo informativo riguardante le specifiche caratteristiche degli screening genetici.

 

2) Ambito di applicazione
La presente autorizzazione è rilasciata:

a) agli esercenti le professioni sanitarie, in particolare ai genetisti medici, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di tutela della salute dell’interessato o di un terzo appartenente alla stessa linea genetica dell’interessato;

b) agli organismi sanitari pubblici e privati, in particolare alle strutture cliniche di genetica medica, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di tutela della salute dell’interessato o di un terzo appartenente alla stessa linea genetica dell’interessato;

c) a laboratori di genetica medica, limitatamente alle operazioni indispensabili rispetto a dati, parimenti indispensabili, destinati ad essere trattati per esclusive finalità di prevenzione e di diagnosi genetica nei confronti dell’interessato, o destinati ad essere utilizzati ad esclusivi fini di svolgimento delle indagini difensive o per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria o, ad esclusivi fini di ricongiungimento familiare, per l’accertamento della sussistenza di vincoli di consanguineità di cittadini di Stati non appartenenti all’Unione europea, apolidi e rifugiati;

d) alle persone fisiche o giuridiche, agli enti o agli istituti di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalità di ricerca, limitatamente ai dati e alle operazioni indispensabili per esclusivi scopi di ricerca scientifica, anche statistica, finalizzata alla tutela della salute dell’interessato, di terzi o della collettività in campo medico, biomedico ed epidemiologico e antropologico, nell’ambito delle attività di pertinenza della genetica medica;

e) agli psicologi, ai consulenti tecnici e ai loro assistenti, nell’ambito di interventi pluridisciplinari di consulenza genetica, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di consulenza nei confronti dell’interessato o dei suoi familiari;

f) ai farmacisti, limitatamente ai dati e alle operazioni indispensabili per esclusive finalità di adempimento agli obblighi derivanti da un rapporto di fornitura di farmaci all’interessato;

g) ai difensori, anche a mezzo di sostituti, consulenti tecnici e investigatori privati autorizzati, limitatamente alle operazioni e ai dati indispensabili per esclusive finalità di svolgimento di investigazioni difensive di cui alla legge 7 dicembre 2000 n. 397; è altresì rilasciata per far valere o difendere un diritto -anche da parte di un terzo- in sede giudiziaria, sempre che il diritto sia di rango almeno pari a quello dell’interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;

h) agli organismi internazionali ritenuti idonei dal Ministero degli affari esteri e alle rappresentanze diplomatiche o consolari per il rilascio delle certificazioni (allo stato disciplinate dall’art. 49 d.P.R. 5 gennaio 1967, n. 200) ad esclusivi fini di ricongiungimento familiare e limitatamente ai casi in cui l’interessato non possa fornire documenti ufficiali che provino i suoi vincoli di consanguineità, in ragione del suo status, ovvero della mancanza di un’autorità riconosciuta o della presunta inaffidabilità dei documenti rilasciati dall’autorità locale.

 

3) Finalità del trattamento
Possono essere trattati i dati genetici inerenti alle seguenti finalità che non possano essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa:

a) tutela della salute, con particolare riferimento alle patologie di natura genetica e alla tutela dell’identità genetica dell’interessato, con il suo consenso, salvo quanto previsto dagli artt. 26 e 82 del Codice in riferimento al caso in cui l’interessato non possa prestare il proprio consenso per incapacità d’agire, impossibilità fisica o incapacità di intendere o di volere;

b) tutela della salute, con particolare riferimento alle patologie di natura genetica e tutela dell’identità genetica di un terzo appartenente alla stessa linea genetica dell’interessato, nel caso in cui il consenso non sia prestato o non possa essere prestato per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere; ciò, limitatamente ai dati genetici già raccolti e qualora il trattamento sia indispensabile per consentire al terzo di compiere una scelta riproduttiva consapevole o sia giustificato dalla disponibilità, per il terzo, di interventi di natura preventiva o terapeutica;

c) ricerca scientifica e statistica, finalizzata alla tutela della salute della collettività in campo medico, biomedico ed epidemiologico (sempre che la disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi), da svolgersi con il consenso dell’interessato salvo che nei casi di indagini statistiche o di ricerca scientifica previste dalla legge.

Nell’ambito delle finalità di cui alle precedenti lettere a) e b) del presente punto, l’autorizzazione è rilasciata anche all’esclusivo fine di consentire ai destinatari di adempiere o di esigere l’adempimento di specifici obblighi o di eseguire specifici compiti previsti dalla normativa comunitaria, da leggi o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali, di diagnosi e cura, anche per i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di tutela della salute mentale, di assistenza farmaceutica, in conformità alla legge. Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario.

La presente autorizzazione è rilasciata, altresì, quando il trattamento dei dati genetici sia indispensabile:

a) per lo svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti, di consulenti tecnici e investigatori privati autorizzati, o, comunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, anche senza il consenso dell’interessato eccetto il caso in cui il trattamento presupponga lo svolgimento di test genetici. Ciò, sempre che il diritto da far valere o difendere sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Il trattamento deve essere comunque effettuato nel rispetto delle autorizzazioni generali del Garante al trattamento dei dati sensibili da parte dei liberi professionisti e da parte degli investigatori privati (allo stato, autorizzazioni nn.  4 e 6/2005). Il trattamento può comprendere anche le informazioni relative a stati di salute pregressi o relative ai familiari dell’interessato;

b) per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti espressamente dalla normativa comunitaria, da leggi o da regolamenti in materia di previdenza e assistenza o in materia di igiene e sicurezza del lavoro o della popolazione, anche senza il consenso dell’interessato, nei limiti previsti dall’autorizzazione generale del Garante al trattamento dei dati sensibili nei rapporti di lavoro (allo stato, l’autorizzazione  n. 1/2005) e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111 del Codice. Il trattamento può comprendere anche le informazioni relative a stati di salute pregressi o relative ai familiari dell’interessato;

c) per l’accertamento dei vincoli di consanguineità  per il ricongiungimento familiare di cittadini di Stati non appartenenti all’Unione europea, apolidi e rifugiati (attualmente disciplinato dal d.lg. 25 luglio 1998, n. 286). Non si considerano, in particolare, indispensabili i trattamenti di dati genetici effettuati nonostante la disponibilità di procedure alternative che non comportano il trattamenti dei dati medesimi.

 

4) Modalità di trattamento
I destinatari della presente autorizzazione conformano il prelievo e l’utilizzo dei campioni biologici e il trattamento dei dati genetici secondo modalità volte a prevenire la violazione dei diritti, delle libertà fondamentali e della dignità degli interessati. Tali attività sono effettuate, comunque, in modo lecito e secondo correttezza, nonché per scopi determinati in conformità alla presente autorizzazione e resi noti all’interessato nei modi indicati al successivo punto 5.

Sono predisposte specifiche misure per accertare univocamente l’identità del soggetto al quale viene prelevato il materiale biologico per l’esecuzione dell’analisi (art. 11, comma 1, lett. c), del Codice).

Il trattamento dei dati genetici è effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.

Restano fermi gli obblighi deontologici relativi alle singole figure professionali oggetto della presente autorizzazione.

4.1) Raccolta e conservazione
Quando le finalità del trattamento di dati genetici non possono essere realizzate senza l’identificazione anche temporanea degli interessati, il titolare adotta specifiche misure per mantenere separati i dati identificativi già al momento della raccolta, salvo che ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o richieda un impiego di mezzi manifestamente sproporzionato.

La raccolta di dati genetici effettuata per l’esecuzione di test e di screening genetici è limitata alle sole informazioni personali e familiari strettamente indispensabili all’esecuzione dell’analisi (art. 11, comma 1, lett. d), del Codice).

In particolare, nei trattamenti effettuati mediante test sulla variabilità individuale non sono raccolti dati sullo stato di salute o su altre caratteristiche degli interessati, ad eccezione del sesso. Il campione è prelevato da un incaricato del laboratorio di genetica medica o da un medico da esso designato ovvero, in caso di ricongiungimento familiare, da esercenti le professioni sanitarie appositamente incaricati dalle rappresentanze diplomatiche o consolari o da organismi internazionali ritenuti idonei dal Ministero degli affari esteri.

4.2) Ricerca scientifica e statistica
La ricerca scientifica e statistica, per il cui svolgimento è consentito il trattamento dei dati genetici e l’utilizzo dei campioni biologici, è effettuata, altresì, sulla base di un progetto redatto conformemente agli standard del pertinente settore disciplinare, anche al fine di documentare che il trattamento dei dati e l’utilizzo dei campioni biologici sia effettuato per idonei ed effettivi scopi scientifici. Possono essere utilizzati a tal fine i dati e i campioni biologici strettamente pertinenti agli scopi perseguiti, avuto riguardo ai dati disponibili e ai trattamenti già effettuati dallo stesso titolare, nonché all’esistenza di altre modalità che permettano di raggiungere gli scopi della ricerca mediante dati personali diversi da quelli identificativi o genetici, ovvero che non comportino il prelievo di campioni biologici.

Il progetto specifica le misure da adottare nel trattamento dei dati personali per garantire il rispetto della presente autorizzazione, nonché della normativa sulla protezione dei dati personali, anche per i profili riguardanti la custodia e la sicurezza dei dati e dei campioni biologici, e individua gli eventuali responsabili del trattamento (artt. 29, 31, 33, 34 e 35 del Codice e Allegato B al medesimo Codice). In particolare, laddove la ricerca preveda il prelievo e/o l’utilizzo di campioni biologici, il progetto indica l’origine, la natura e le modalità di prelievo e di conservazione dei campioni, nonché le misure adottate per garantire la volontarietà del conferimento del materiale biologico da parte dell’interessato.

Il progetto è conservato a cura del titolare in forma riservata almeno per un anno dopo la conclusione della ricerca. Il titolare fornisce le informazioni contenute nel progetto agli interessati che ne facciano richiesta.

4.3) Misure di sicurezza
Per la custodia e la sicurezza dei dati genetici e dei campioni biologici sono adottate, in ogni caso, le seguenti cautele.

L’accesso ai locali è controllato mediante incaricati della vigilanza o strumenti elettronici che prevedano specifiche procedure di identificazione anche mediante dispositivi biometrici. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate.

La conservazione, l’utilizzo e il trasporto dei campioni biologici sono posti in essere con modalità volte anche a garantirne la qualità, l’integrità, la disponibilità e la tracciabilità.

Il trasferimento dei dati genetici in formato elettronico è effettuato con posta elettronica certificata previa cifratura delle informazioni trasmesse da realizzarsi con firma digitale. É ammesso il ricorso a canali di comunicazione di tipo “web application” che prevedano protocolli di comunicazione sicuri e garantiscano, previa verifica, l’identità digitale del server che eroga il servizio e della postazione client da cui si effettua l’accesso ai dati, ricorrendo a certificati digitali emessi in conformità alla legge da un’autorità di certificazione.

La consultazione dei dati genetici trattati con strumenti elettronici è consentita previa adozione di sistemi di autenticazione basati sull’uso combinato di informazioni note agli incaricati e di dispositivi, anche biometrici, in loro possesso.

I dati genetici e i campioni biologici contenuti in elenchi, registri o banche di dati, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettano di identificare gli interessati solo in caso di necessità, in modo da ridurre al minimo i rischi di conoscenza accidentale e di accesso abusivo o non autorizzato. Laddove gli elenchi, i registri o le banche di dati contengano anche dati riguardanti la genealogia o lo stato di salute degli interessati, le predette tecniche devono consentire, altresì, il trattamento disgiunto dei dati genetici e sanitari dagli altri dati personali che permettono di identificare direttamente le persone interessate.

Restano comunque fermi gli altri obblighi previsti dagli articoli 11, 14, 22 e 31 e seguenti del Codice e le modalità tecniche in materia di misure minime di sicurezza indicate nel disciplinare tecnico allegato al medesimo Codice, anche per ciò che attiene alla conservazione e al trasporto dei dati all’esterno dei locali protetti e all’accesso controllato a tali locali. Tali obblighi vanno osservati anche in riferimento ai campioni biologici.

 

5) Informativa
Salvo che per i trattamenti non sistematici di dati genetici effettuati dal medico di medicina generale e dal pediatra di libera scelta nell’ambito degli ordinari rapporti con l’interessato per la tutela della salute e dell’incolumità fisica di quest’ultimo, l’informativa evidenzia, oltre agli elementi previsti in base agli artt. 13, 77 e 78 del Codice:

a) l’esplicitazione analitica di tutte le specifiche finalità perseguite;

b) i risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati genetici;

c) il diritto dell’interessato di opporsi al trattamento dei dati genetici per motivi legittimi;

d) la facoltà o meno, per l’interessato, di limitare l’ambito di comunicazione dei dati genetici e il trasferimento dei campioni biologici, nonché l’eventuale l’utilizzo di questi per ulteriori scopi;

e) il periodo di conservazione dei dati genetici e dei campioni biologici.

Dopo il raggiungimento della maggiore età l’informativa è fornita all’interessato anche ai fini dell’acquisizione di una nuova manifestazione del consenso quando questo è necessario (art. 82, comma 4, del Codice).

Per i trattamenti effettuati per scopi di ricerca scientifica e statistica l’informativa evidenzia, altresì:

a) che il consenso è manifestato liberamente ed è revocabile in ogni momento senza che ciò comporti alcuno svantaggio o pregiudizio per l’interessato, salvo che i dati e i campioni biologici, in origine o a seguito di trattamento, non consentano più di identificare il medesimo interessato;

b) gli accorgimenti adottati per consentire l’identificabilità degli interessati soltanto per il tempo necessario agli scopi della raccolta o del successivo trattamento (art. 11, comma 1, lett. e), del Codice);

c) l’eventualità che i dati e/o i campioni biologici siano conservati e utilizzati per altri scopi di ricerca scientifica e statistica, per quanto noto, adeguatamente specificati anche con riguardo alle categorie di soggetti ai quali possono essere eventualmente comunicati i dati oppure trasferiti i campioni;

d) le modalità con cui gli interessati che ne facciano richiesta possono accedere alle informazioni contenute nel progetto di ricerca.

Per i trattamenti effettuati mediante test e screening genetici per finalità di tutela della salute, di ricerca o di ricongiungimento familiare, l’informativa è resa all’interessato prima del prelievo, ovvero dell’utilizzo del suo campione biologico qualora lo stesso sia stato già prelevato, anche in forma scritta, in modo specifico e comprensibile, anche quando il trattamento è effettuato da esercenti la professione sanitaria o da organismi sanitari pubblici e privati che abbiano informato in precedenza il medesimo interessato utilizzando le modalità semplificate previste dagli artt. 77, 78 e 79 del Codice.

I trattamenti per lo svolgimento delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria possono essere effettuati mediante l’esecuzione di test genetici soltanto previa informativa all’interessato da rendersi con le modalità sopra indicate.

5.1) Consulenza genetica e attività di informazione
Per i trattamenti effettuati mediante test genetici per finalità di tutela della salute o di ricongiungimento familiare è fornita all’interessato una consulenza genetica prima e dopo lo svolgimento dell’analisi, nel corso della quale l’interessato riceve informazioni complete e accurate su tutte le possibili implicazioni dei risultati. Prima dell’introduzione di
screening genetici finalizzati alla tutela della salute sono adottate idonee misure per garantire un’attività di informazione al pubblico in merito alla disponibilità dei test effettuati, alla loro natura, alle loro specifiche finalità e conseguenze, anche nell’ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica.

Il consulente genetista aiuta i soggetti interessati a prendere in piena autonomia le decisioni ritenute più adeguate, tenuto conto del rischio genetico, delle aspirazioni familiari e dei loro principi etico-religiosi, aiutandoli ad agire coerentemente con le scelte compiute, nonché a realizzare il miglior adattamento possibile alla malattia e/o al rischio di ricorrenza della malattia stessa.

Nei casi in cui il test sulla variabilità individuale è volto ad accertare la paternità o la maternità gli interessati sono, altresì, informati circa la normativa in materia di filiazione, ponendo in evidenza le eventuali conseguenze psicologiche e sociali dell’esame.

L’attuazione di ricerche scientifiche su isolati di popolazione è preceduta da un’attività di informazione presso le comunità interessate, anche mediante mezzi di comunicazione di massa su base locale e presentazioni pubbliche, volta ad illustrare la natura della ricerca, le finalità perseguite, le modalità di attuazione, le fonti di finanziamento e i rischi o benefici attesi per le popolazioni coinvolte. L’attività di informazione evidenzia anche gli eventuali rischi di discriminazione o stigmatizzazione delle comunità interessate, nonché quelli inerenti alla conoscibilità di inattesi rapporti di consanguineità e le azioni intraprese per ridurre al minimo tali rischi.

 

6) Consenso
In conformità a quanto previsto dagli artt. 23 e 26 del Codice, i dati genetici possono essere trattati e i campioni biologici utilizzati soltanto per gli scopi indicati nella presente autorizzazione e rispetto ai quali la persona abbia manifestato previamente e per iscritto il proprio consenso informato.

In conformità all’art. 23 del Codice, il consenso resta valido solo se l’interessato è libero da ogni condizionamento o coercizione e resta revocabile liberamente in ogni momento.

Nel caso in cui l’interessato revochi il consenso al trattamento dei dati per scopi di ricerca, è distrutto anche il campione biologico sempre che sia stato prelevato per tali scopi, salvo che, in origine o a seguito di trattamento, il campione non possa più essere riferito ad una persona identificata o identificabile.

Per i trattamenti effettuati mediante test genetici, compreso lo screening, anche a fini di ricerca o di ricongiungimento familiare, deve essere acquisito il consenso informato dei soggetti cui viene prelevato il materiale biologico necessario all’esecuzione dell’analisi. In questi casi, all’interessato è richiesto di dichiarare se vuole conoscere o meno i risultati dell’esame o della ricerca, comprese eventuali notizie inattese che lo riguardano, qualora queste ultime rappresentino per l’interessato un beneficio concreto e diretto in termini di terapia o di prevenzione o di consapevolezza delle scelte riproduttive.

Per le informazioni relative ai nascituri il consenso è validamente prestato dalla gestante. Nel caso in cui il trattamento effettuato mediante test prenatale possa rivelare anche dati genetici relativi alla futura insorgenza di una patologia del padre, è previamente acquisito anche il consenso di quest’ultimo.

Quando il trattamento è necessario per la salvaguardia della vita e dell’incolumità fisica dell’interessato, e quest’ultimo non può prestare il proprio consens0 per impossibilità fisica, incapacità d’agire o incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applicano le disposizioni di cui all’art. 82 del Codice.

L’opinione del minore, nella misura in cui lo consente la sua età e il suo grado di maturità, è presa in considerazione. Negli altri casi di incapacità d’agire, impossibilità fisica o di incapacità di intendere o di volere, il trattamento è consentito se le finalità perseguite comportano un beneficio diretto per l’interessato e la sua opinione è, nei limiti del possibile, presa in considerazione.

I trattamenti di dati connessi all’esecuzione di test genetici presintomatici possono essere effettuati sui minori non affetti, ma a rischio per patologie genetiche solo nel caso in cui esistano concrete possibilità di terapie o di trattamenti preventivi prima del raggiungimento della maggiore età. I test sulla variabilità individuale non possono essere condotti su minori senza che venga acquisito il consenso di ambedue i genitori, ove esercitano entrambi la potestà sul minore.

I trattamenti di dati connessi all’esecuzione di test genetici per lo svolgimento delle investigazioni difensive o per l’esercizio di un diritto in sede giudiziaria possono essere effettuati soltanto con il consenso informato della persona cui appartiene il materiale biologico necessario all’indagine, salvo che un’espressa disposizione di legge disponga altrimenti.

 

7) Trattamenti in settori particolari
I dati genetici trattati e i campioni biologici prelevati per l’esecuzione di test sulla variabilità individuale ai fini dello svolgimento delle investigazioni difensive o per l’esercizio di un diritto in un procedimento penale non possono essere utilizzati per altri fini. I dati trattati e i campioni biologici prelevati per l’esecuzione di
test genetici a fini di prevenzione, di diagnosi o di terapia nei confronti dell’interessato o per finalità di ricerca scientifica e statistica possono essere utilizzati per lo svolgimento delle investigazioni difensive o per l’esercizio di un diritto in un procedimento penale, nel rispetto delle pertinenti disposizioni di legge.

 

8) Conservazione dei dati e dei campioni
Con riferimento all’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i campioni biologici e i dati genetici possono essere conservati per il periodo di tempo non superiore a quello strettamente necessario per adempiere agli obblighi o ai compiti indicati al punto 3 della presente autorizzazione o per perseguire le finalità ivi menzionate per le quali sono stati raccolti o successivamente utilizzati.

I campioni biologici prelevati e i dati genetici trattati per l’esecuzione di test e di screening genetici sono conservati per un periodo di tempo non superiore a quello necessario allo svolgimento dell’analisi o al perseguimento degli scopi per i quali sono stati raccolti o successivamente utilizzati.

I dati genetici trattati a fini di ricongiungimento familiare sono conservati per un periodo di tempo non superiore a quello necessario all’esame dell’istanza di ricongiungimento, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. A seguito del rigetto o dell’accoglimento dell’istanza, i campioni prelevati per l’accertamento dei vincoli di consanguineità devono essere distrutti (art. 11, comma 1, lett. e), del Codice).

Ai sensi dell’art. 11, comma 1, lett. c), d) ed e), del Codice, i soggetti autorizzati verificano periodicamente l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati.

I campioni biologici prelevati e i dati genetici raccolti per scopi di tutela della salute possono essere conservati ed utilizzati per finalità di ricerca scientifica o statistica, ferma restando la necessità di acquisire il consenso informato delle persone interessate, eccetto che nei casi di indagini statistiche o ricerche scientifiche previste dalla legge. La conservazione e l’ulteriore utilizzo di campioni biologici e di dati genetici raccolti per la realizzazione di progetti di ricerca e indagini statistiche, diversi da quelli per i quali è stato originariamente acquisito il consenso informato degli interessati, sono consentiti limitatamente al perseguimento di scopi scientifici e statistici direttamente collegati con quelli originari. Ciò, a meno che venga nuovamente acquisito il consenso degli interessati, ovvero i campioni biologici e i dati genetici, in origine o a seguito di trattamento, non consentano più di identificare i medesimi interessati, oppure a causa di particolari ragioni non sia possibile informarli malgrado sia stato compiuto ogni ragionevole sforzo per raggiungerli e il programma di ricerca, oggetto di motivato parere favorevole del competente comitato etico a livello territoriale, sia autorizzato appositamente dal Garante ai sensi dell’art. 90 del Codice.

 

9) Comunicazione e diffusione dei dati
I dati genetici non possono essere comunicati e i campioni biologici non possono essere messi a disposizione di terzi salvo che sia indispensabile per il perseguimento delle finalità indicate dalla presente autorizzazione.

I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti a enti e istituti di ricerca, alle associazioni e agli altri organismi pubblici e privati aventi finalità di ricerca, esclusivamente nell’ambito di progetti congiunti.

I dati genetici e i campioni biologici raccolti per scopi di ricerca scientifica e statistica possono essere comunicati o trasferiti ai soggetti sopra indicati, non partecipanti a progetti congiunti, limitatamente alle informazioni prive di dati identificativi, per scopi scientifici direttamente collegati a quelli per i quali sono stati originariamente raccolti e chiaramente determinati per iscritto nella richiesta dei dati e/o dei campioni. In tal caso, il soggetto richiedente si impegna a non trattare i dati e/o utilizzare i campioni per fini diversi da quelli indicati nella richiesta e a non comunicarli o trasferirli ulteriormente a terzi.

I dati genetici raccolti a fini di ricongiungimento familiare possono essere comunicati unicamente alle rappresentanze diplomatiche o consolari competenti all’esame della documentazione prodotta dall’interessato o all’organismo internazionale ritenuto idoneo dal Ministero degli affari esteri cui questi si sia rivolto. I campioni biologici prelevati ai medesimi fini possono essere trasferiti unicamente al laboratorio designato per l’effettuazione del test sulla variabilità individuale o all’organismo internazionale ritenuto idoneo dal Ministero degli affari esteri.

Fermo restando quanto previsto dall’art. 84 del Codice, i dati genetici devono essere resi noti di regola direttamente all’interessato o a persone diverse dal diretto interessato sulla base di una delega scritta di quest’ultimo, adottando ogni mezzo idoneo a prevenire la conoscenza non autorizzata da parte di soggetti anche compresenti. La comunicazione nelle mani di un delegato dell’interessato è eseguita in plico chiuso.

Gli esiti di test e di screening genetici, nonché i risultati delle ricerche qualora comportino per l’interessato un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, devono essere comunicati al medesimo interessato anche nel rispetto della sua dichiarazione di volontà di conoscere o meno tali eventi e, ove necessario, con un’appropriata consulenza genetica.

I risultati delle ricerche, qualora comportino un beneficio concreto e diretto in termini di terapia, prevenzione o di consapevolezza delle scelte riproduttive, anche per gli appartenenti alla stessa linea genetica dell’interessato, possono essere comunicati a questi ultimi, qualora ne facciano richiesta e l’interessato vi abbia espressamente acconsentito, o sia deceduto e, in vita, non abbia espressamente fornito indicazioni contrarie.

In caso di ricerche condotte su popolazioni isolate, devono essere resi noti alle comunità interessate e alle autorità locali gli eventuali risultati della ricerca che rivestono un’importanza terapeutica o preventiva per la tutela della salute delle persone appartenenti a tali comunità.

I dati genetici non possono essere diffusi. I risultati delle ricerche non possono essere diffusi se non in forma aggregata, ovvero secondo modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti, anche nell’ambito di pubblicazioni.

 

10) Richieste di autorizzazione
I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.

Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.

Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione, relative, ad esempio, al caso in cui la raccolta del consenso comporti un impiego di mezzi manifestamente sproporzionato in ragione, in particolare, del numero di persone interessate.

 

11) Norme finali
Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati genetici.

Resta fermo per il titolare del trattamento di dati genetici l’obbligo di effettuare, nei casi previsti, la notificazione al Garante prima dell’inizio del trattamento medesimo (artt. 37 e 163 del Codice).

 

12) Efficacia temporale e disciplina transitoria
La presente autorizzazione ha efficacia dal 1° aprile 2007 al 31 dicembre 2008.

Qualora alla data di pubblicazione della presente autorizzazione il trattamento non sia già conforme alle sue prescrizioni, il titolare deve adeguarsi ad esse entro il 1° settembre 2007.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 22 febbraio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli

EnglishFrenchGermanItalianPortugueseRussianSpanish

My Projects

      EUPL.IT - Sito italiano interamente dedicato alla EUPL

E-Contract-U

Giornalismo Investigativo - Inchieste e Diritto dell'informazione

My Books

My e-Books