[doc. web. n. 39260]

Dati sensibili  - E´ necessario il consenso per il trattamento di dati sensibili - 29 maggio 1998

Il Garante, rispondendo ad un quesito posto dalle Ferrovie dello Stato, anche in considerazione della giurisprudenza costituzionale sulla natura giuridica della Società, precisa in quale modo debbano essere applicate le disposizioni della legge n. 675/1996 relative al trattamento dei dati sensibili.

Roma, 29 maggio1998

Spett. Ferrovie S.p.a.
P.zza della Croce Rossa, 1
00181 Roma

OGGETTO: Quesiti sul regime del trattamento dei dati sensibili.

Con riguardo ai quesiti proposti da codesta Società in ordine al regime del trattamento dei dati sensibili rela tivi allo stato di salute dei dipendenti, si precisa che, attesa la natura privata delle Ferrovie dello Stato S.p.a. (società per azioni derivante dalla trasformazione della Azienda autonoma Ferrovie di Stato e, successivamente, dell´Ente Ferrovie, a seguito della delibera del CIPE del 12.8.1992), la normativa di riferimento è da individuarsi nell´articolo 22, comma 1, della legge n. 675/1996.
In base ai criteri seguiti da tale legge relativamente all´esercizio privato di pu

bliche funzioni, la Direzione sanitaria della Vs. società, (struttura interna che tratta dati sensibili del personale a fini di medicina legale e che racchiude una serie di uffici della società stessa) non può essere considerata come una struttura pubblica. Ciò anche se l´art.4 dell´atto di concessione di cui al decreto del Ministero dei Trasporti del 26 novembre 1993, stabilisce che la Società esercita le funzioni amministrative e sanitarie previste dall´articolo 6 della legge n. 833/1978 e dalle altre leggi attributive di competenze ai medici del disciolto Ente Ferrovie dello Stato e la relativa attività possa, per conseguenza, essere inquadrata nel modello organizzativo tradizionale dell´esercizio privato di pubbliche funzioni.

Tale interpretazione è suffragata da quanto affermato dalla Corte Costituzionale nella sentenza n. 176 del 27.5.96 - 31.5.96, che, in merito al servizio sanitario interno alla FS S.p.a., ha formulato espliciti riferimenti all´esigenza di assicurare in via provvisoria (e fino alla definitiva sistemazione del servizio all´interno del Ministero dei Trasporti) la continuità delle funzioni inerenti alla tutela della sicurezza dei lavoratori, sia pure all´interno di un organismo societario privato con organizzazione speciale.

L´art. 22 della legge n. 675/1996 introduce due distinte ipotesi in relazione alla disciplina generale del trattamento dei dati sensibili. Al comma 1 è infatti previsto che i dati personali idonei a rivelare lo stato di salute possano essere oggetto di trattamento da parte di privati o di enti pubblici economici solo con il consenso scritto dell´interessato e previa autorizzazione del Garante. Il comma 3 prevede invece un regime diverso per i soggetti pubblici nel senso proprio del termine prevedendo, infatti, che essi possano trattare i dati indicati al comma 1 solo se autorizzati da un´espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Il comma 3 dell´art. 22 citato, come pure le altre disposizioni riferite agli enti pubblici (es. art. 27), sono norme di stretta interpretazione che delineano con precisione la categoria dei soggetti pubblici assoggettati a regime particolare, e che non sono suscettibili di interpretazione estensiva basata sulla natura delle attività esercitate da privati.

Ciò osservato, quanto alla necessità o meno per la Vs. società di acquisire il consenso degli interessati, si rileva che, ai sensi del citato articolo 22, comma 1, della legge n. 675/1996, il trattamento dei dati personali idonei a rivelare lo stato di salute è possibile solo con il consenso scritto dell´interessato.

In tal caso, non è infatti applicabile l´articolo 12 della medesima legge, recante i casi di esclusione del consenso, in quanto esso disciplina il trattamento dei dati non sensibili da parte di soggetti privati e di enti pubblici economici.

In virtù delle suddette disposizioni la società Ferrovie S.p.a. deve, pertanto, sulla base dell´informativa prevista dall´articolo 10, richiedere il consenso dei dipendenti o dei soggetti interessati per i trattamenti di dati sensibili effettuati anche in virtù di espresse previsioni di legge, di regolamento o della normativa comunitaria, che in passato attribuivano competenze in materia amministrativa e sanitaria al Servizio sanitario dell´Azienda autonoma delle Ferrovie dello Stato e, successivamente, dell´Ente Ferrovie dello Stato.

Infine, l´obbligo per codesta Società di richiedere l´autorizzazione al Garante (art.22 comma 1) sussiste nel solo caso in cui i trattamenti non rientrino in alcuna delle ipotesi già considerate nelle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro (autorizzazione n. 1 del 19 novembre 1997, pubblicata sulla Gazzetta ufficiale del 21 novembre 1997) e per il trattamento dei dati idonei a rivelare lo stato di salute (autorizzazione n. 2 del 27 novembre 1997, pubblicata sulla Gazzetta ufficiale del 29 novembre 1997), emanate ai sensi dell´articolo 41, comma 7, della legge n. 675/1996.

IL PRESIDENTE