Il Garante per la protezione dei dati personali ha esaminato la compatibilità delle nove Autorizzazioni generali al trattamento dei dati, a suo tempo rilasciate dalla medesima Autorità, con il contenuto delle recenti modifiche della normativa di riferimento, rappresentate dall’entrata in vigore, da un lato, del GDPR e, dall’altro, dall’emanazione del Decreto legislativo n. 101/2018.
Nella newsletter n. 448 del 21 dicembre 2018, il Garante ha comunicato gli esiti del suddetto esame, individuando le Autorizzazioni che hanno cessato completamente i loro effetti e quelle che, invece, contengono prescrizioni che risultano ancora compatibili con la citata nuova normativa.
In particolare, per quanto di interesse per le imprese edili, la verifica svolta dal Garante ha confermato come il contenuto dell’Autorizzazione generale n. 1/2016, relativa al trattamento dei dati sensibili nei rapporti di lavoro, sia pertinente con il nuovo assetto normativo.
Il Garante ha, quindi, indicato tutte le prescrizioni, aggiornate alla luce delle nuove disposizioni in materia di privacy, che dovranno continuare ad essere rispettate da ogni datore di lavoro che tratti dati personali per le finalità indicate.
Peraltro, in considerazione dell’impatto che tali misure possono avere su Pubblica Amministrazione e imprese, nel rispetto delle disposizioni previste dal decreto di revisione del Codice privacy, il testo verrà sottoposto a consultazione pubblica, per la sua approvazione definitiva.

Garante per la protezione dei dati personali – Provvedimento n. 497 del 13 dicembre 2018
Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice – 13 dicembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;
VISTE le autorizzazioni generali adottate ai sensi degli artt. 26 e 40 del Codice;
CONSIDERATO che gli artt. 26 e 40 del Codice sono stati abrogati dall’art. 27, comma 1, lett. a), n. 2), del citato d.lgs. n. 101/2018;
CONSIDERATO che l’art. 21 del d.lgs. n. 101/2018, in attuazione delle disposizioni di cui al Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo altresì al loro aggiornamento ove occorrente;
RITENUTO di dare attuazione al citato art. 21 del d.lgs. n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice;
RILEVATO che l’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016 non rientra tra quelle richiamate dall’art. 21, comma 1, d.lgs. n. 101/2018 ed ha, pertanto, cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione;
RILEVATO, altresì, che le Autorizzazioni generali nn. 2/2016, 4/2016 e 5/2016 (rispettivamente “Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”, “Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti” e “Autorizzazione al trattamento dei dati sensibili da parte di diverse categorie di titolari”) risultano prive di specifiche prescrizioni e, pertanto, esulano dall’ambito delle disposizioni di cui all’art. 21, comma 1, d.lgs. n. 101/2018;
CONSIDERATO che a decorrere dal 25 maggio 2018 l’espressione “dati sensibili” si intende riferita alle categorie particolari di dati di cui al citato art. 9 del Regolamento (art. 22, comma 2, del d.lgs. n.101/2018);
VISTO l’art. 9 del Regolamento, che individua i presupposti per il trattamento dei dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. “categorie particolari di dati personali”, par. 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (par. 4);
RILEVATO che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali;
VISTO l´art. 2-decies, del Codice, secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall’art. 160-bis dello stesso Codice;
CONSIDERATO che in base all’art. 21, comma 5, del d.lgs. n. 101/2018 la violazione delle prescrizioni contenute nelle autorizzazioni generali e nel presente provvedimento generale sono soggette alla sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento;
CONSIDERATO che ai sensi dell’art. 21, comma 1, del d.lgs. n. 101/2018, il presente provvedimento è sottoposto a un procedimento di consultazione pubblica ed è adottato entro 60 giorni dal relativo esito;
RITENUTO, pertanto, di avviare una consultazione pubblica della durata di 60 giorni a partire dalla data di pubblicazione dell’avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, volta ad acquisire osservazioni e proposte riguardo alle prescrizioni individuate nell’allegato 1 al presente provvedimento;
VISTO l´art. 167 del Codice, come sostituito dall’art. 15, comma 1, lett. b), del d.lgs. n. 101/2018;
VISTO l’art. 170 del Codice come sostituito dall’art. 15, comma 1, lett. e), del d.lgs. n. 101/2018;
VISTI gli atti d’ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 21 del d.lgs. 10 agosto 2018, n. 108, individua le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, riportate nell’allegato 1 facente parte integrante del presente provvedimento;

DELIBERA

di avviare una consultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni.
A tal fine, invita tutti i soggetti interessati a far pervenire le osservazioni, i commenti, le informazioni, le proposte e tutti gli elementi ritenuti utili, entro 60 giorni dalla pubblicazione dell´avviso pubblico di avvio della medesima consultazione sulla Gazzetta Ufficiale, all´indirizzo del Garante di Piazza Venezia n. 11, 00187 – Roma, ovvero all´indirizzo di posta elettronica consultazione.prescrizioni@gpdp.it
I contributi inviati dai partecipanti alla consultazione non precostituiscono alcun titolo, condizione o vincolo rispetto ad eventuali successive determinazioni del Garante.