Dati sanitari in busta chiusa
Risultati della visita medica sotto gli sguardi di tutti. Il Garante dà ragione ad un dipendente comunale

Si sottopone ad accertamenti sanitari per il riconoscimento di infermità da causa di servizio e i referti gli vengono comunicati, tramite il messo comunale, dall´amministrazione di appartenenza spillati ad una nota di accompagnamento, anziché custoditi in busta chiusa.

É successo ad un dipendente comunale che, indignato dall´accaduto ritenuto lesivo della sua riservatezza, dopo una prima istanza rivolta al datore di lavoro in cui chiedeva conto di questa procedura, insoddisfatto della risposta ricevuta, ha presentato ricorso al Garante. L´Autorità gli ha dato ragione ed ha ordinato all´ente locale di conformarsi al rispetto della normativa in materia di protezione dei dati personali. Entro la fine di novembre il comune dovrà comunicare al Garante misure di sicurezza, istruzioni al personale, procedure adottate per la tutela dei dati.

Quando le amministrazioni pubbliche trattano informazioni personali, a maggior ragione se vi sono riferimenti alla salute, alla vita sessuale, alle convinzioni religiose ecc., hanno l´obbligo di adottare ogni cautela e precauzione per prevenire violazioni dei diritti, delle libertà fondamentali e della dignità degli interessati. Dati  sanitari, quindi, in busta chiusa e allegati alle note di trasmissione solo se indispensabili.

Nel caso in esame il Garante ha ritenuto illecite sia le modalità di circolazione dei dati all´interno dell´ente (redazione di documenti, invio di note, loro protocollazione), sia quelle di comunicazione all´interessato ed ha richiamato l´amministrazione all´adozione di soluzioni che permettano di svolgere le funzioni istituzionali eliminando ogni occasione di superflua conoscibilità dei dati sulla salute, anche da parte degli incaricati del trattamento, compresi i messi notificatori (dati sanitari in busta chiusa, inviti a ritirare personalmente un documento presso l´ufficio competente, comunicazione telematica direttamente all´interessato). Contrariamente a quanto sostenuto dal Comune, infatti, nelle note  recapitate all´interessato erano presenti riferimenti a procedure per il riconoscimento di patologie contratte in servizio, e a esami clinici ai quali il dipendente doveva sottoporsi: tutti dati idonei a rivelare lo stato di salute secondo quanto previsto dal Codice in materia di protezione dei dati personali.  

Rasi: bilanciare credito al consumo e riservatezza
In dirittura d´arrivo il codice di deontologia sulle "centrali rischi" private

"Il Codice in materia di protezione dei dati personali fornisce tutti gli elementi per un adeguato bilanciamento di due esigenze: il valore sociale e l´espansione del credito al consumo, e le maturate consapevolezze dei cittadini che intendono veder tutelati i diritti della trasparenza, della sicurezza, della riservatezza, insomma della dignità della persona umana".

Con queste parole il Prof. Gaetano Rasi, componente dell´Autorità Garante per la protezione dei dati personali, ha aperto il suo intervento al convegno "Novità in tema di disciplina sulle centrali rischi", svoltosi oggi a Milano. Le "centrali rischi" private sono delle grandi banche dati nelle quali confluiscono informazioni relative ai numerosi cittadini che chiedono un prestito personale, un mutuo, una carta di credito e alle quali accedono banche e finanziarie per verificare l´affidabilità e la solvibilità della clientela prima di concedere finanziamenti.

Con l´ampliamento del ricorso al credito e il conseguente sviluppo delle "centrali rischi" private cresce, però, anche la consapevolezza del diritto del cittadino a controllare le informazioni che lo riguardano. Interpretando questa nuova esigenza, il testo unico sulla privacy – ha  affermato Rasi – non solo si occupa in diversi articoli delle centrali rischi private, ma prevede la sottoscrizione di un apposito codice deontologico e di buona condotta per questo settore così delicato.

Lo schema del codice deontologico, elaborato in collaborazione con organismi rappresentativi degli operatori del settore e già oggetto di una consultazione pubblica, individua le regole di comportamento per la correttezza dei trattamenti, e non riguarda sistemi informativi di cui sono titolari soggetti pubblici. Esso stabilisce, in particolare, gli scopi per i quali le informazioni raccolte possono essere utilizzate, le modalità di registrazione dei dati, l´informativa agli interessati per assicurare una maggiore trasparenza nei confronti del consumatore, e individua con certezza i termini di conservazione dei dati personali contenuti in banche dati.

Secondo il componente dell´Autorità, pur non esistendo oggi un sistema di misurazione della qualità derivante dal corretto trattamento dei dati, esso "appare tuttavia rilevante in relazione all´importanza che, da un lato, le imprese attribuiscono alle informazioni sulla moralità e puntualità nei pagamenti e, dall´altra, alla preoccupata attenzione che gli acquirenti circa l´esatta fornitura di notizie sul proprio comportamento".
[Comunicato del 19 ottobre 2001]

Conclusi i lavori del codice sulle "centrali rischi"

Si sono conclusi oggi i lavori del codice deontologico per le cosiddette "centrali rischi" private. L´importante risultato è stato conseguito dopo due anni di  impegno che hanno visto riuniti associazioni dei consumatori e associazioni rappresentative di banche, finanziarie e centrali rischi private.

Il Garante adotterà nelle prossime settimane alcuni provvedimenti di accompagnamento o di attuazione del codice che entrerà in vigore il 1 gennaio 2005.

Le cosiddette "centrali rischi" private, che d´ora innanzi si chiameranno "sistemi di informazioni creditizie", sono banche dati costituite per verificare l´affidabilità e la puntualità nei pagamenti e le eventuali situazioni di morosità. Ad esse accedono gli operatori finanziari prima di concedere un prestito, un mutuo o un finanziamento.

Il codice introdurrà maggiori garanzie per i numerosi cittadini che chiedono un prestito personale, un mutuo, un finanziamento per l´acquisto di beni di consumo (es.: un´autovettura, un elettrodomestico, ecc.), una dilazione di pagamento, il rilascio di una carta di credito.
[Comunicato del 26 ottobre 2004]

La privacy secondo il Consiglio d´Europa 
Integrazione tra norme e codici deontologici, informative più chiare, maggiori risorse per le autorità di controllo: le strade da percorrere

Il Consiglio d´Europa ha fatto il punto sui diritti e i doveri dei cittadini rispetto alla protezione dei dati personali, in una conferenza tenutasi il 14 e 15 ottobre scorsi a Praga, affrontando quattro aree tematiche: come sensibilizzare gli interessati rispetto a diritti e doveri in un´ottica di crescente globalizzazione ed informatizzazione; come fornire informazioni adeguate; come garantire l´effettività del consenso prestato dall´interessato; come far valere i diritti che spettano a ciascun cittadino in rapporto al trattamento dei propri dati personali (http://www.coe.int/...).

La Conferenza ha visto la partecipazione di molti esperti e studiosi europei, oltre che di rappresentanti delle autorità di protezione dati dei Paesi membri del Consiglio d´Europa.

Su ciascuno dei quattro temi all´ordine del giorno è stata tenuta una lezione, cui hanno fatto seguito una tavola rotonda ed altri interventi su materie connesse. Il punto di partenza è stata la Convenzione 108 del Consiglio d´Europa sulla protezione dei dati personali, approvata nel 1981.

Ne è emerso un bilancio che presenta, come è logico attendersi, luci ed ombre. Tutti gli intervenuti si sono detti comunque sostanzialmente ottimisti sulle prospettive di un´effettiva tutela dei diritti degli interessati, attraverso l´uso intelligente delle tecnologie dell´informazione ed una maggiore sensibilizzazione di tutte le parti in causa. Sono state indicate anche alcune linee-guida per realizzare tali obiettivi.

É necessario, innanzitutto, ricercare sinergie fra soluzioni normative e soluzioni autoregolamentative. Nessuna delle due strade sembra condurre a risultati soddisfacenti se imboccata da sola; pertanto, è preferibile un approccio di co-regolamentazione in cui i contributi degli operatori (associazioni di categoria, ISP) siano recepiti dal legislatore attraverso idonei strumenti (codici di condotta, potenziamento della diffusione di Privacy Enhancing Technologies – Tecnologie di potenziamento della privacy).

Contemporaneamente si deve puntare sulla sensibilizzazione di tutti gli utenti e consumatori per realizzare l´obiettivo (spesso solo teorico) del cosiddetto "user empowerment"; qui è fondamentale il ruolo del settore pubblico e degli Stati in particolare.

L´informativa è uno dei cardini del trattamento di dati personali: è necessario perseguire l´obiettivo di un´informativa quanto più possibile standardizzata (vi sono varie esperienze in corso, a livello nazionale e regionale – vedi l´attività del Gruppo di lavoro dei garanti europei), chiara, ed anche accattivante per l´utente, soprattutto in rapporto alla raccolta di dati personali su Internet. Per contro, i titolari di trattamento devono poter contare su indicazioni chiare da parte del legislatore e delle autorità di controllo; tuttavia, la tutela della privacy non può diventare un alibi per ostacolare l´accesso ai documenti pubblici.

Si deve garantire, poi, l´effettività del consenso, puntando ad un consenso specifico ed informato. Qualsiasi limitazione o deroga rispetto alla necessità di ottenere il consenso dell´interessato deve essere controbilanciata da requisiti più severi concernenti, ad esempio, l´informativa ovvero la trasparenza delle operazioni di trattamento dei dati. Ciò vale in modo particolare nel contesto dei rapporti di lavoro.

Infine, gli interessati devono avere l´opportunità di scegliere fra strumenti di diritto civile, amministrativo e penale per far valere i propri diritti, secondo le specifiche circostanze. La protezione dei dati investe trasversalmente tutti i settori tradizionali del diritto, pertanto deve essere possibile utilizzare sia strumenti tradizionali (azioni in giudizio, risarcimento per danni morali, sanzioni penali in caso di trattamenti illeciti di dati personali) sia strumenti non tradizionali quali i poteri delle autorità di controllo indipendenti (certificazione di buone prassi e/o prodotti, controlli preliminari, sanzioni nei confronti di contravventori, sensibilizzazione dell´opinione pubblica).