Lavoro. Il fascicolo del dipendente è riservato, solo copie autorizzate
Il Garante interviene contro l’indebita diffusione di una lettera contenente dati personali di una lavoratrice e di sua figlia disabile

I datori di lavoro pubblici e privati devono trattare e conservare i dati dei loro dipendenti nel rispetto del diritto alla protezione dei dati, adottando anche, a pena di sanzioni civili e penali, ogni idonea misura di sicurezza per prevenire eventi lesivi della privacy. A maggior ragione se tra le informazioni raccolte compaiono dati sensibili riferiti ad un minore.

Lo ha sottolineato il Garante accogliendo il ricorso di una dipendente di una società che lamentava una grave violazione della propria riservatezza personale e familiare. I fatti risalgono a dicembre dello scorso anno quando la donna, che occupava temporaneamente la scrivania di un  collega, alzando una cartellina  aveva trovato la fotocopia di una lettera da lei stessa inviata al direttore dell’ufficio, nella quale erano riportate anche delicate informazioni sulla condizione di  salute della  figlia minore disabile. Per due volte si era rivolta all’amministrazione contestando l’indebita divulgazione della lettera e chiedendo che tale condotta illegittima non venisse a ripetersi. L’interessata chiedeva anche di conoscere in base a quale norma di legge la lettera fosse stata conosciuta da terzi, addirittura in fotocopia, nonché di avere conferma dell’esistenza di dati personali in possesso della società e la loro comunicazione in modo chiaro e dettagliato.

Non avendo ricevuto una adeguata risposta per iscritto ha sottoposto il caso al Garante. L’Autorità ha  riconosciuto le ragioni  della dipendente e ha  ordinato alla società di  astenersi dall’ulteriore  trattamento illecito dei dati personali dell’interessata. Alla società è stato anche imposto di  adottare tutte le misure di sicurezza idonee a prevenire il ripetersi di eventi del genere.
Secondo il Garante la presenza ingiustificata di tale fotocopia contenente dati sensibili della dipendente e della figlia minore, al di fuori del fascicolo personale e comunque in un contesto non appropriato, contrasta con la disciplina sulla protezione dei dati personali ed in particolare con  le prescrizioni e le cautele indicate nell’autorizzazione generale che disciplina il trattamento dei dati sensibili nei rapporti di lavoro e  con le disposizioni in materia di misure di sicurezza. Va ricordato, peraltro, che i dati sensibili devono essere conservati in una sezione separata del fascicolo personale ed essere accessibili solo al personale autorizzato.

La società, che non ha contestato la ricostruzione della vicenda fatta dalla dipendente, ha avviato una indagine interna, non ancora conclusa, i cui esiti dovranno essere  comunicati al Garante per la valutazione di altre eventuali violazioni e determinazioni di competenza.

La società dovrà anche far conoscere al Garante le misure di sicurezza adottate e  le disposizioni impartite al personale per una doverosa protezione dei dati.  Alla società sono state infine addebitate le spese del procedimento da rifondere direttamente alla dipendente.

Tlc: critiche alla proposta di conservare tutti i dati di traffico in Europa
La misura antiterrorismo presentata al Consiglio dell’Ue da Francia, Irlanda, Svezia, Regno Unito riguarda anche Internet e la posta elettronica

Una proposta avanzata da alcuni Stati dell’UE prevede la conservazione “a priori”, fino ad un massimo di 36 mesi, di tutti i dati di traffico, compresi quelli relativi a Internet, SMS, MMS, posta elettronica. Forti critiche sono state espresse da più parti, compresi i gestori e fornitori di servizi di comunicazione che contestano l’inutilità ed i costi eccessivi di un’iniziativa del genere. Sul punto si sono già dette più volte contrarie le Autorità europee di protezione dei dati.

La proposta presentata da quattro Stati dell’UE (Francia, Irlanda, Svezia, Regno Unito) lo scorso aprile prevede che il Consiglio dell’UE decida di chiedere agli Stati membri l’introduzione di misure nazionali per la conservazione a priori di tutti i dati trattati e conservati per la fornitura di servizi pubblici di comunicazione ovvero di tutti i dati disponibili nelle reti di comunicazione pubblica, allo scopo di favorire le indagini, la prevenzione e la repressione dei reati con particolare riguardo al terrorismo (www.consilium.eu.int, Doc. n. 8958/04 del 28 aprile 2004). Su questa proposta, che non ha ancora ottenuto il beneplacito della Commissione europea, è stata aperta anche una consultazione pubblica che è terminata lo scorso 15 settembre 2004 (http://europa.eu.int/...).

I risultati della consultazione sono stati presentati in  occasione di un recente seminario pubblico organizzato a Bruxelles il 21 settembre (http://europa.eu.int/...).

In sostanza, la proposta di decisione prevede l’obbligo di conservare tutti i dati di traffico e localizzazione per un minimo di 12 ed un massimo di 36 mesi; i dati sono quelli necessari per identificare la fonte di una comunicazione, i servizi usufruiti, l’instradamento e la destinazione di una comunicazione, l’ora e la durata della comunicazione, il tipo di comunicazione, l’apparecchiatura utilizzata, e la localizzazione della comunicazione per l’intera sua durata. I dati in questione sono generati da servizi di telefonia (compresi SMS ed MMS), Internet, posta elettronica, Voice-over-IP, FTP, servizi su banda larga, ed ogni eventuale tecnologia sviluppata negli anni a venire.

Per quanto nel testo si affermi che l’obbligo di conservazione non si applica ai contenuti delle comunicazioni, la mole di dati è tale che risulta possibile rintracciare con precisione i percorsi seguiti da ogni singolo abbonato o utente nell’utilizzare servizi di comunicazione; del resto, questo è lo scopo dichiarato della proposta, che intenderebbe facilitare le indagini e la repressione di reati con particolare riguardo a quelli di matrice terroristica.

Molte critiche sono giunte, durante il seminario pubblico sopra ricordato, proprio dai gestori e dagli operatori di TLC, che hanno fatto notare come le disposizioni previste siano sproporzionate rispetto agli scopi (statistiche diffuse indicherebbero che in rarissimi casi è richiesto l’accesso a dati di traffico risalenti ai 12 mesi precedenti per lo svolgimento di indagini penali) e, soprattutto, comportino costi eccessivi per la conservazione dell’enorme mole di dati generati dai servizi di comunicazione in oggetto. Inoltre, numerosi gruppi per la difesa dei diritti civili hanno pubblicato dichiarazioni o documenti nei quali evidenziano critiche e punti deboli rispetto alla proposta, giudicata “inutile” e “sproporzionata” (vedi, per tutti, il documento pubblicato dai Computer Professionals for Peace and Social Responsibility e dalla German Organisation for Data Protection, http://www.datenschutzverein.de/...).

Va sottolineato che anche il Gruppo che riunisce le autorità europee di protezione dei dati si sta occupando della questione, e si è peraltro espresso più volte con chiarezza rispetto all’inopportunità ed illegittimità di una conservazione indiscriminata dei dati di traffico. Fra i molti documenti in materia, si segnala, in particolare, la dichiarazione pubblicata dalle autorità di protezione dati dopo la conferenza di Cardiff del 2002 (http://www.europa.eu.int/...) ed il Parere 1/2003 sulla conservazione di dati di traffico per scopi di fatturazione http://www.europa.eu.int/...). Il gruppo ha fatto notare come questo tipo di approccio sia incompatibile, fra l’altro, con i principi fissati nell’Articolo 8 della Convenzione europea dei diritti umani, secondo la quale qualunque interferenza nella vita privata delle persone (che il testo stesso della proposta di decisione riconosce essere una conseguenza delle disposizioni di cui si chiede l’attuazione) è ammissibile solo sulla base di un adeguato fondamento giuridico, per finalità specifiche e determinate, e nella misura di quanto necessario e proporzionato in una società democratica.

Dati dei passeggeri e voli negli Usa

I Garanti europei approvano un modello di informativa per il trasferimento dei dati Il Gruppo che riunisce le autorità di protezione dati nell´UE ha approvato, con un recente Parere, un modello di informativa utilizzabile per fornire ai passeggeri che volano verso gli USA le informazioni sui trattamenti dei dati personali richiesti dalle autorità USA. L´informativa sarà presto tradotta in tutte le lingue comunitarie (Parere 8/2004). Sono stati elaborati due tipi di informativa, una più sintetica ed una più dettagliata. La prima deve essere sempre fornita al passeggero nel momento in cui questi fa richiesta del biglietto aereo; la versione "lunga" sarà disponibile collegandosi ad un sito web oppure sarà messa a disposizione, su richiesta, direttamente dall´agenzia di viaggio o dalla compagnia aerea. Ricordiamo che le Autorità USA (Bureau of Customs and Border Protection, CBP) chiedono di conoscere anticipatamente una serie di dati personali relativi ai passeggeri che volano da o verso gli USA. La Commissione europea ha riconosciuto l´adeguatezza della protezione di tali dati offerta dal CBP (con decisione del 14 maggio 2004), e quindi ha autorizzato il trasferimento dei dati personali dall´UE agli USA nei termini previsti da una serie di "Undertakings" (Impegni) assunti dallo stesso CBP. Restano fermi gli obblighi previsti dalla direttiva europea 95/46 sulla protezione dei dati, compreso quello di informare adeguatamente gli interessati (i passeggeri) sulla natura, le finalità e le modalità del trattamento in questione. Con questo Parere i Garanti europei hanno inteso fornire indicazioni concrete alle compagnie aeree, alle agenzie di viaggio, ed ai sistemi computerizzati di prenotazione sulla formulazione di un´informativa adeguata ai sensi delle disposizioni comunitarie.