Dati sensibili e GDPR: il provvedimento del Garante

L’art. 21 del D. Lgs. n. 101 del 2018  – che è intervenuto in modo consistente sul c.d. Codice della Privacy – aveva demandato al Garante il compito di individuare, con provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relativamente alle situazioni di trattamento di cui agli artt. 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX, del Regolamento. Le disposizioni si riferiscono rispettivamente a trattamenti di dati necessari per l’adempimento di obblighi di legge cui è soggetto il Titolare, trattamenti necessari per l’esecuzione di un compito di interesse pubblico o per l’esercizio di un pubblico potere di cui è investito il Titolare, trattamenti di dati sensibili in materia di diritto del lavoro e della sicurezza e protezione sociale, disposizioni che attribuiscono agli Stati la facoltà di introdurre norme più stringenti in materia di trattamento di dati genetici, biometrici e relativi alla salute, nonché disposizioni relative a specifiche situazioni di trattamento. 

Il Garante ha avviato il procedimento prescritto emanando il Provvedimento generale del 13 dicembre 2018, n. 497, con cui si formalizzavano le prescrizioni contenute nelle Autorizzazioni generali nn. 1, 3, 6, 8 e 9/2016 ritenute compatibili con le nuove disposizioni di legge, europee e di diritto interno.

Per l’emanazione di tale atto veniva avviata una consultazione pubblica finalizzata alla acquisizione di osservazioni e proposte che si concludeva nei termini di 60 giorni dalla data di pubblicazione dell’avviso in G.U., avvenuta l’11 gennaio scorso ed al cui esito ha fatto seguito l’adozione del presente Provvedimento, con il relativo Allegato 1 il cui contenuto comprende, per l’appunto, una serie di prescrizioni (misure di sicurezza, adempimenti e cautele) concernenti:

1. trattamenti di categorie particolari di dati nei rapporti di lavoro (Aut. gen. 1/2016);

2. trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Aut. gen. 3/2016);

3. trattamenti di categorie particolari di dati da parte degli investigatori privati (Aut. gen. 6/2016);

4. trattamenti di dati genetici (Aut. gen. 8/2016);

5. trattamenti di dati personali effettuati per scopi di ricerca scientifica (Aut. gen. 9/2016).

È opportuno sottolineare che il provvedimento prevede anche:

  • la violazione delle prescrizioni contenute in questo atto è soggetta alla sanzione amministrativa di cui all’art. 83.5 del Regolamento (fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente), come prescritto dall’art. 21, comma 5;
  • l’art. 21 – stavolta al comma 4 – ha stabilito che il presente provvedimento produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui rispettivamente agli artt. 2-quater e 2-septies del D. Lgs. 196/2003.
Chiudi il menu