g-docweb-display Portlet

Provvedimento del 26 novembre 2003 [1083001]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web. n. 1083001]

provvedimento del 26 novembre 2003

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Vista la richiesta di autorizzazione presentata ai sensi dell´articolo 22, comma 1, della legge n. 675/1996 da Arnoldo Mondadori Editore S.p.A., anticipata via fax il 30 ottobre 2003 e pervenuta il 5 novembre 2003, per il trattamento dei dati sensibili nell´ambito della prestazione su Internet, attraverso siti e pagine web relative alle testate giornalistiche gestite dalla stessa società, di un servizio di consulenza denominato "Esperti on line", consistente nella fornitura a pagamento di risposte da parte di esperti di diversi settori a domande formulate dagli utenti;

Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, in materia di tutela delle persone e di altri soggetti rispetto al trattamento di dati personali;

Visto in particolare il citato art. 22, comma 1, della legge n. 675, il quale individua come "sensibili" i dati personali idonei a rivelare l´origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l´adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

Considerato inoltre che, ai sensi del menzionato art. 22, comma 1, i soggetti privati e gli enti pubblici economici possono trattare i predetti dati sensibili solo previa autorizzazione di questa Autorità e con il consenso scritto degli interessati;

Viste le autorizzazioni generali nn. 2/2002, 3/2002, 4/2002 e 5/2002 rilasciate dal Garante il 31 gennaio 2002, in ordine, rispettivamente, al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni, dei liberi professionisti e di diverse altre categorie di titolari, la cui efficacia è stata prorogata sino al 30 giugno 2004 (v. la deliberazione del Garante n. 8 del 24 giugno 2003);

Considerato che con l´autorizzazione generale n. 2/2002 il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale per fornire agli interessati beni, prestazioni e servizi è stato già autorizzato sulla base di specifici presupposti anche per quanto riguarda la limitazione del trattamento ai soli dati indispensabili per adempiere agli obblighi derivanti dal rapporto di fornitura (par. 1.2, lettera e)), le modalità del trattamento, la conservazione, la comunicazione e il divieto di diffusione;

Considerato che le altre autorizzazioni generali sopra richiamate circoscrivono in un ambito ristretto e sulla base di particolari garanzie il possibile trattamento di dati sensibili diversi da quelli idonei a rivelare lo stato di salute e la vita sessuale da parte di diverse categorie di titolari per finalità o scopi legati alla fornitura di beni, prestazioni o servizi;

Rilevato che il caso in esame riguarda anche un trattamento di dati sensibili diversi da quelli idonei a rivelare lo stato di salute e la vita sessuale che non è previsto espressamente dalle autorizzazioni generali emanate dal Garante;

Rilevato che, secondo quanto disposto nelle predette autorizzazioni generali, il Garante non prende in considerazione richieste di autorizzazione al trattamento di dati sensibili da effettuarsi in difformità alle prescrizioni dei medesimi provvedimenti, salvo che il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali, non considerate nelle autorizzazioni stesse;

Rilevato che, secondo quanto dichiarato dalla società richiedente, la raccolta di eventuali dati sensibili nell´ambito della fornitura del servizio di consulenza on-line può avvenire solo a seguito del loro spontaneo ed occasionale conferimento ad opera degli utenti interessati nell´ambito della formulazione dei quesiti e che il trattamento di tali dati è finalizzato esclusivamente a permettere l´esame dei quesiti da parte degli esperti ai fini della risposta;

Rilevato inoltre che:

a) i quesiti verrebbero resi accessibili agli esperti -designati responsabili del trattamento-, previa eliminazione dal testo dei quesiti dei campi relativi a dati anagrafici e coordinate di posta elettronica degli utenti e che, mediante l´utilizzazione di codici identificativi, le risposte degli esperti verrebbero indirizzate automaticamente ai richiedenti da parte del sistema informativo;

b) previo assenso degli utenti interessati, il testo di alcune domande e delle relative risposte, tra quelle ritenute di maggiore interesse, potrebbe essere reso pubblico in forma impersonale, senza il nome e l´indirizzo e-mail del richiedente, con inserimento in un´apposita sezione del sito;

Considerato che, qualora in base alla tipologia di consulenza richiesta, nonché alla particolarità dell´argomento selezionato e delle informazioni contenute nelle domande poste, i dati personali relativi agli utenti abbiano natura sensibile, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale necessario per gestire il servizio di consulenza on-line della società è già autorizzato dal citato provvedimento n. 2/2002, alle condizioni ivi indicate anche per ciò che riguarda i tempi di conservazione (punto 4 aut. cit.);

Ritenuto di dover autorizzare l´eventuale trattamento da parte della società degli altri dati sensibili, diversi da quelli idonei a rivelare lo stato di salute e la vita sessuale, soltanto quando essi siano pertinenti e non eccedenti in rapporto all´argomento trattato o al quesito posto dall´utente interessato, nonché indispensabili per fornire il descritto servizio di consulenza on-line, in base ai medesimi presupposti e condizioni previsti dalla citata autorizzazione n. 2/2002 che si intendono richiamati nel presente provvedimento e che, analogamente a quelli previsti in altre autorizzazioni generali o particolari del Garante in tema di dati sensibili, devono essere rispettati a pena di sanzione penale (artt. 35, comma 2, e 37, della legge n. 675/1996);

Rilevata altresì la necessità che in aggiunta alle prescrizioni contenute nella citata autorizzazione generale n. 2/2002 sia prescritto alla società richiedente:

a) di inserire in modo chiaramente visibile nell´idonea informativa ai sensi dell´art. 10 della legge n. 675/1996 l´invito per coloro che formulano i quesiti a non indicare in essi dati di carattere sensibile non pertinenti, eccedenti o non indispensabili per la risposta al quesito;

b) di verificare, prima dell´eventuale inserzione consensuale delle risposte ai quesiti negli spazi consultabili dal pubblico e dedicati alle c.d. F.a.q., che oltre al nome e all´indirizzo e-mail dell´interessato non vi siano altri dati anche diversi da quelli sensibili che permettano un´eventuale identificazione indiretta;

Precisato che, ferme restando le misure di sicurezza da adottare in applicazione, allo stato, dell´art. 15, commi 1 e 2, della legge n. 675/1996 e del d.P.R. 28 luglio 1999, n. 318, la società è tenuta ad impartire agli esperti responsabili del trattamento e ad eventuali altre persone fisiche incaricate del trattamento (dipendenti della società e/o coadiutori dell´esperto, con esclusione di ogni designazione di eventuali responsabili del trattamento da parte dell´esperto medesimo) precise istruzioni per la verifica della pertinenza, della non eccedenza e dell´indispensabilità degli eventuali dati sensibili riportati nei quesiti posti dagli utenti e, in caso negativo, per la loro eliminazione, nonché per controllare, nel caso di F.a.q. pubblicate, la presenza di informazioni che rendano comunque identificabili gli interessati o permettano di risalire alla loro identità, nei termini sopra descritti;

Visto l´art. 14 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501;

Visti gli atti d´ufficio;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Stefano Rodotà;

AUTORIZZA:

Arnoldo Mondadori Editore S.p.A. a trattare i dati sensibili diversi da quelli idonei a rivelare lo stato di salute e la vita sessuale (il cui trattamento resta autorizzato in base ai presupposti e alle condizioni stabilite dall´autorizzazione generale n. 2/2002 del Garante), limitatamente agli eventuali dati spontaneamente conferiti dagli utenti interessati ed alle operazioni di trattamento pertinenti, non eccedenti e altresì indispensabili per fornire il descritto servizio di consulenza on-line, nei termini di cui in motivazione, nonché alle condizioni previste dalla medesima autorizzazione generale n. 2/2002.

Roma, 26 novembre 2003

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli

Scheda

Doc-Web
1083001
Data
26/11/03

Argomenti


Tipologie

Autorizzazione

Vedi anche (10)