Newsletter 8 - 14 marzo 1999

• Il regolamento sull´Ufficio del Garante.
• Privacy e videosorveglianza.
• La Privacy in banca.
• Le iscrizioni universitarie.
• Dati personali e buste paga.
• Rapporti USA-UE.
• Foto segnaletiche.
• Il Garante per l´occupazione.
• Riviste mediche e dati sanitari.
• Privacy e sanità.
• Il Garante scrive all´ "Osservatore Romano".

Il regolamento sull´Ufficio del Garante

Il 16 febbraio è entrato in vigore il regolamento dell´Ufficio del Garante (D.P.R. n.501, pubblicato sulla Gazzetta Ufficiale del 1 febbraio 1999) che, oltre a stabilire norme sull´organizzazione interna dell´Autorità, contiene alcune regole utili per l´esercizio e la tutela dei diritti dei cittadini in materia di trattamento dei dati personali, in modo particolare per ciò che concerne il loro diritto di conoscere i dati che li riguardano detenuti dai vari gestori di banche-dati, e di chiederne la correzione o l´integrazione.

Nell´introdurre alcune regole dettagliate per la tutela del cittadino, il regolamento disciplina i casi in cui questi può rivolgersi, in base alla legge n.675, alGarante, rendendo più chiara la distinzione trale semplici segnalazioni e i reclami inviati all´Autorità e, invece, i veri e propri ricorsi.

Il Garante ricorda che il ricorso non va presentato per ogni caso di sospetta violazione della legge n. 675, ma solo per far valere precisi diritti riconosciuti dall´art.13 (accesso, rettifica, cancellazione ecc.) e solo dopo aver interpellato inutilmente il gestore della banca-dati, a meno che non vi sia un caso di particolare e comprovata urgenza che possa comportare un serio danno. I ricorsi sono atti da presentare con particolari formalità che, se non rispettate, li rendono inammissibili, e prevedono inoltre un preciso

contraddittorio tra le parti.

Proprio per queste loro caratteristiche e per il rapidissimo procedimento che instaurano (devono, di regola, concludersi entro 20 giorni), i ricorsi presuppongono il versamento di alcuni limitati diritti di segreteria, la cui misura è stata determinata dal Garante in lire 50.000. L´importo dovrà essere corrisposto direttamente all´Ufficio o versato sul conto corrente postale n.96677000, intestato al Garante per al protezione dei dati personali.

L´Autorità ha stabilito alcune esenzioni dal pagamento dei diritti di segreteria per coloro che si trovano in disagiate condizioni economiche.

Restano invece gratuite le segnalazioni e i reclami che, a differenza dei ricorsi, non richiedono particolari formalità per la loro presentazione e che saranno comunque esaminati da parte del Garante.

Il regolamento disciplina anche alcune modalità concrete per adempiere, anche attraverso strumenti informatici, a determinati obblighi che la legge n.675 fissa a carico dei gestori di banche-dati (richieste di autorizzazioni, notificazioni ecc.).

Privacy e videosorveglianza

La videosorveglianza è un tema di grande rilievo e interesse per l´opinione pubblica: non esiste ancora una normativa specifica in materia, ma la legge sulla privacy, nel recepire i principi sanciti in sede europea, definisce dato personale qualsiasi informazione che permette l´identificazione della persona compresi i suoni e le immagini.

Anche una semplice installazione di videocamera, o una registrazione sonora per esempio, deve essere conforme alle disposizioni sulla privacy: a quale tipo di funzione o per quale finalità viene realizzata, la sicurezza e la conservazione delle immagini e delle riproduzioni, l´uso appropriato rispetto alla finalità, l´informazione agli interessati.

L´Autorità ha avviato in collaborazione con il Dipartimento di Sociologia dell´Università di Roma "La Sapienza" un´indagine sulle diverse forme di videosorveglianza, che ne monitorizzi l´uso valutandone anche l´impatto sociale.

L´utilizzo delle telecamere si sta sempre più diffondendo a scopi di sicurezza sociale, di accesso ai centri storici, di controllo in luoghi pubblici, esercizi commerciali, o di vigilanza all´interno delle strutture sanitarie per un´assistenza continua ai pazienti.

Per quest´ultimo caso, trattandosi di dati sensibili relativi a persone che necessitano di cure e controlli, rientra nelle finalità degli organismi sanitari raccogliere informazioni anche in modo non tradizionale e sempre nel contesto delle regole di base in materia: informazione agli interessati e individuazione del personale autorizzato in esclusiva all´uso dei dati, che devono essere strettamente necessari e conservati per un periodo determinato.

La Privacy in banca

Non hanno avuto largo consenso di pubblico i moduli obbligatori nelle banche per l´informativa e l´autorizzazione a trattare i dati personali, distribuiti nell´arco nel 1998. Questo il risultato di un´indagine conoscitiva condotta dall´Autorità presso un largo campione di istituti di credito: non tutti i clienti hanno risposto ed in questo caso, sono state considerate provvisoriamente manifestazioni di consenso implicito altre prestazioni richieste dall´utenza quali un bonifico o un assegno.

Il Garante ha, quindi, predisposto uno schema semplificato, per unificare i numerosi modelli in circolazione, circa ottocento, e rendere più comprensibile l´esigenza amministrativa

al grande pubblico, proponendo lo schema di documento alla riflessione e ai contributi di tutti i cittadini e delle categorie coinvolte.

Le iscrizioni universitarie

Le Università possono raccogliere e utilizzare i dati personali e anche quelli relativi alla condizione economica del nucleo di appartenenza, proprio per determinare la tassa di iscrizione e gli eventuali benefici, sussidi od altro, a vantaggio dell´iscritto. Inoltre i dati relativi agli studenti possono essere comunicati per offerte di lavoro, ad esempio, piuttosto che per finalità di sostegno alla ricerca e alla collaborazione in campo scientifico e tecnologico.

Tutto questo nel pieno rispetto delle modalità previste dalla legge che tutela i dati personali: osservanza delle misure di sicurezza ed informazione agli interessati sulla gestione della banca dati.

Dati personali e buste paga

I "cedolini" dello stipendio dei lavoratori devono rispettare la privacy e, a questo fine, i datori di lavoro dovranno adottare le necessarie misure a tutela della riservatezza dei dati in essi contenuti.

Lo ha stabilito il Garante per la protezione dei dati personali nel parere fornito ad un Comune, nel quale ha richiamato principi e indicato modalità e accorgimenti validi sia per il settore pubblico sia per il settore privato. Fermo restando, come ovvio, che i dati contenuti nel cedolino possono essere utilizzati da parte degli incaricati che li devono trattare per la gestione del rapporto di lavoro, essi non devono essere immediatamente accessibili ad altre persone che non siano i diretti interessati.

L´interesse del dipendente a poter verificare nel modo più semplice possibile le voci relative a ritenute ed emolumenti, non preclude alla amministrazione di poter eliminare dai cedolini determinati particolari relativi a situazioni strettamente personali o familiari, come ad esempio la causa del pignoramento, la ragione del sussidio, la sigla del sindacato, multe disciplinari.

Per gli altri dati, la cui inclusione nel cedolino è necessaria nell´interesse del dipendente, andrebbero invece adottate opportune cautele che possono consistere, ad esempio, nel piegare e spillare il cedolino, nell´imbustarlo o nell´apporvi una copertura delle parti più significative che no riguardino dati di comune conoscenza (generalità, ufficio di appartenenza ecc.) o nell´introdurre la cosiddetta "distanza di cortesia" agli sportelli.

Nelle amministrazioni dotate di un efficiente sistema informativo si potrebbero poi individuare ulteriori modalità basate sulla riduzione al minimo dei dati contenuti nel cedolino e sulla possibilità per il dipendente di accedere facilmente, mediante l´uso di una password, a tutte le informazioni che riguardano il suo stipendio.

Rapporti USA-UE

Il 29 gennaio scorso i componenti dell´Autorità hanno ricevuto la visita di una delegazione americana guidata dall´ambasciatore David J. Aaron, sottosegretario U.S.A. al Commercio. Al centro dell´incontro i problemi legati ai rapporti tra Unione Europea e Stati Uniti per il trasferimento delle banche dati verso il paese americano che, per l´entrata in vigore della direttiva europea, dovrebbe assicurare una "adeguata protezione" dei dati. Il Comitato Europeo dei Garanti, riunitosi a Bruxelles tre giorni prima sotto la presidenza italiana, aveva già approvato all´unanimità un testo con alcune linee guida per la trattativa.

Il negoziato, avviato con successo, proseguirà anche attraverso una serie di incontri bilaterali.

Foto segnaletiche

Il 10 febbraio, invece, i Garanti hanno incontrato i vertici delle Forze di Pubblica Sicurezza italiane: il Capo della Polizia, i Comandanti Generali dell´Arma dei Carabinieri e della Guardia di Finanza e un rappresentante del Ministero di Grazia e Giustizia.

Il tavolo di lavoro ha preso in esame le questioni relative alla divulgazione di immagini di persone interessate da indagini o procedimenti penali e alle cautele da adottare nei confronti di inquisiti e detenuti, giungendo ad una piena convergenza di vedute: vigilare sulla corretta applicazione delle norme e armonizzare le esigenze di repressione e prevenzione con il rispetto della dignità delle persone.

Il Garante per l´occupazione

Il Garante per la protezione dei dati personali ha chiesto al Ministero del Lavoro di valutare le condizioni per una modifica delle attuali norme sul collocamento in modo tale da consentire il rilascio, ai datori di lavoro privati che ne facciano richiesta, dell´elenco degli iscritti al collocamento a fini di assunzione. L´Autorità ha ricordato che la legge n.675 sulla protezione dei dati personali prevede che la divulgazione da parte delle amministrazioni pubbliche dei dati personali detenuti ai soggetti privati è consentita solo se prevista da una norma di legge o di regolamento. Tale norma non è presente nella attuale legislazione che esclude espressamente la pubblicità delle liste di collocamento in favore di privati che non siano società autorizzate ad operare nel campo della mediazione di manodopera. In particolare, viene previsto che la ricerca di personale da parte del datore di lavoro può avvenire, attraverso queste società autorizzate, su tutto il territorio nazionale in forma anonima mediante il sistema informativo del Ministero del Lavoro. Le candidature dei lavoratori interessati vanno comunicate direttamente al soggetto privato che ha fatto richiesta di determinate tipologie di lavoratori.

Il Garante ha dunque richiamato l´attenzione del Ministero sulla opportunità di intervenire sulla normativa allo scopo di ampliare il regime di pubblicità delle liste di collocamento o, al contrario, di valutare se vi siano esigenze di tutela dei lavoratori che rendano invece problematico questo ampliamento.

A mero titolo di esempio per una eventuale modifica di legge, il Garante ricorda la disciplina introdotta dal decreto legislativo n.204 del 1998 che consente alle pubbliche amministrazioni, comprese università ed enti di ricerca, di divulgare ai privati i dati relativi ai laureati, ai tecnici, ai ricercatori, ai docenti universitari e ad esperti e studiosi per favorire e promuovere la ricerca e la collaborazione in campo scientifico e tecnologico.

Riviste mediche e dati sanitari

Le riviste mediche e le pubblicazioni scientifiche devono evitare che le persone di cui pubblicano diagnosi o dati clinici possano essere comunque identificate dai lettori. La legge n.675, infatti, vieta, salvo casi eccezionali, la divulgazione dei dati riguardanti lo stato di salute.

Il principio è stato stabilito dal Garante con un provvedimento nel quale ha esaminato il caso sottoposto da una donna che aveva visto pubblicate su una rivista medica alcune riproduzioni di radiografie a lei riferite, accompagnate dal suo nome di battesimo, dalla sua età e da indicazioni di carattere diagnostico La donna aveva chiesto inutilmente alla rivista che quei dati venissero cancellati e che non venissero più diffusi e si era quindi rivolta al Garante per vedere tutelati i suoi diritti. Nel caso specifico, il nome di battesimo dell´interessata, è un nome straniero particolarmente inusuale nel contesto italiano, e consente pertanto una agevole identificabilità della donna, specie se unito all´età e al tipo di patologia. Inoltre, va tenuto conto del fatto che la rivista viene distribuita e messa a disposizione dei clienti presso ambulatori medici accentuando in questo modo il rischio che alcuni soggetti possano agevolmente ricollegare i dati all´interessata.

La legge n.675, ha ricordato il Garante, definisce dato personale qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione "identificati o identificabili", anche indirettamente mediante riferimento a qualsiasi altra informazione.

Ribadendo il divieto di diffusione dei dati della ricorrente, l´Autorità ha pertanto vietato alla rivista il trattamento di dati sensibili relativi alla ricorrente, anche in considerazione del fatto che questa non aveva rilasciato al medico il proprio consenso alla divulgazione dei dati.

L´Autorità ha, comunque, riaffermato il principio che la legge n.675 non pregiudica affatto l´informazione a contenuto scientifico su casi che possano rivelarsi di interesse degli specialisti e del pubblico. Quello che va evitato è il rischio che le informazioni diffuse rendano possibile risalire agli interessati che intendano mantenere l´anonimato garantito dalla legge; gli interessati devono essere pertanto informati dal medico sulle caratteristiche di una eventuale pubblicazione scientifica che li riguardi e consentire espressamente alla diffusione dei propri dati sanitari.

Il giusto contemperamento tra le esigenze della ricerca medica e scientifica con il diritto alla riservatezza può essere trovato, ha suggerito il Garante, mediante l´adozione di semplici modalità come l´utilizzo delle sole iniziali o di nomi di fantasia o di codici numerici.

Privacy e sanità

Il Garante è ritornato sulla questione legata alla possibilità di fornire a conoscenti e parenti informazioni sui pazienti ricoverati presso strutture ospedaliere. In particolare è stato chiesto se la indicazione del reparto di degenza in mancanza di un espresso consenso dell´interessato violi la legge sulla protezione dei dati personali, potendo rivelare notizie sullo stato di salute della persona ricoverata.

L´Autorità ha ribadito che, in attesa della prevista normativa che il Governo è stato delegato ad emanare riguardo al trattamento di dati sensibili da parte di soggetti pubblici, gli organismi pubblici possono trattare dati sensibili senza il consenso dell´interessato. Ha ricordato, inoltre, che la normativa sul servizio sanitario nazionale prevede, entro determinati orari e con precise modalità, la possibilità di visite da parte di parenti, conoscenti ed organismi di volontariato e la "Carta dei servizi pubblici sanitari" prevede come eccezione che il degente possa chiedere che la sua presenza non venga resa nota.

Una ASL ha chiesto al primario ospedaliero di una divisione malattie infettive di fornire nomi, farmaci usati e periodi di degenza relativi ai pazienti affetti da AIDS allo scopo di rilevare il consumo dei farmaci.

Il Garante ha sottolineato che questo tipo di rilevazioni, dalle quali si desume chiaramente l´identità degli ammalati di AIDS ricoverati e lo stato di avanzamento della malattia, è in contrasto con la legge 675. La legge sulla protezione dei dati infatti, pur prevedendo la possibilità da parte delle amministrazione pubbliche di utilizzare dati sensibili, ha fatto salve la legge n.135 del 1990 in materia di AIDS che stabilisce l´obbligo per gli operatori sanitari di adottare tutte le misure necessarie per la tutela della riservatezza della persone malate di AIDS o affette da HIV, e vieta ai datori di lavoro, sia pubblici che privati, di effettuare indagini per accertare se i dipendenti o i lavoratori da assumere siano o meno sieropositivi.

Gli scopi di tipo statistico e contabile della rilevazione sul consumo dei farmaci, inoltre, non sono pertinenti alle esigenze di cura sancite dalla legge 135.

Il Garante ha richiamato l´attenzione sulla necessità di prevedere precise modalità per la conservazione dei dati negli archivi elettronici e perché l´accesso ai nomi degli ammalati sia consentito al solo personale del reparto di malattie infettive o di altri reparti ospedalieri che ne abbiano reali esigenze a fini di assistenza e cura, e non al personale amministrativo dell´ospedale.

L´Autorità ha pertanto invitato la ASL a sospendere la raccolta dei dati nominativi in questione e ha chiesto alla divisione malattie infettive di limitare i trattamenti di dati personali dei pazienti affetti da AIDS alle sole operazioni strettamente pertinenti alle finalità di assistenza e cura.

Per i dati sensibili, come sono quelli sanitari, la legge 675 prevede particolari garanzie, e stabilisce che i medici, oltre ad informare gli interessati sull´utilizzazione che intendono fare dei loro dati, richiedano sulla base di questa informativa il consenso scritto al loro trattamento.

Nell´informativa, i medici devono specificare, in particolare, al paziente che i suoi dati personali potranno essere comunicati a competenti organi dell´amministrazione finanziaria per adempiere agli obblighi di carattere contabile e fiscale. Obblighi che prevedono, per quanto riguarda alcune ricevute sanitarie, non una generica certificazione, ma l´indicazione specifica degli elementi relativi alla prestazione professionale (natura, qualità e quantità dei servizi resi).

Infatti, i medici specialisti in occasione di controlli e accertamenti fiscali sulle prestazioni erogate devono mettere a disposizione dell´amministrazione fiscale i dati personali dei loro pazienti contenuti nelle ricevute sanitarie (nome, cognome, diagnosi e cure applicate).

Il Garante scrive all´ “Osservatore Romano”

In risposta ad un articolo pubblicato il 5 marzo scorso sul quotidiano del Vaticano, riguardante la tragica vicenda della ragazza di Gravina, il Garante ha inviato la seguente lettera: "L´Osservatore Romano, commentando il modo in cui sono state diffuse le notizie sul delitto di Gravina, pone la delicatissima questione di come viene fatta informazione in casi in cui la particolarità della vicenda può indurre a rendere pubblici dettagli sulle modalità del delitto e la vita della vittima, che non rispettano la dignità di quest´ultima.

Il giornale si chiede se questo non rappresenti una violazione delle regole sulla riservatezza, sottolineando che ciò non è evitato neppure dalla creazione del Garante.

Vale la pena di sottolineare che la sensibilità per questo tipo di problemi è grandemente cresciuta proprio da quando è entrata in vigore la legge sulla privacy e l´Autorità Garante ha cominciato ad operare, dando così un più sicuro riferimento istituzionale al bisogno di rispetto per la dignità delle persone che si manifesta nella società italiana. Questo importante dato sociale porta con sé obblighi precisi per il Garante, ma non elimina doveri e responsabilità per altri soggetti e istituzioni.

Il Garante è molte volte intervenuto proprio per tutelare la dignità delle persone in occasione di fatti di cronaca (notizie riguardanti minori suicidi e ammalati di AIDS, pubblicazioni di foto segnaletiche etc.).

Inoltre, insieme all´Ordine nazionale dei giornalisti, ha messo a punto un codice deontologico, che costituisce ormai la fonte legale per valutare il modo in cui dare le notizie in situazioni di particolare delicatezza.

Nel caso specifico che è stato denunziato, alcune delle notizie diffuse sembrano essere il frutto di evidenti violazioni del segreto di indagine: a queste devono reagire in primo luogo la magistratura e le forze di polizia giudiziaria, con provvedimenti nei confronti dei responsabili di queste fughe di notizie.

La successiva diffusione di dati da parte dei giornalisti rientra, ove questi siano raccolti correttamente, nel diritto di cronaca, salvo alcuni eccessi che devono essere valutati in primo luogo sotto il profilo della deontologia professionale.

Alle primarie responsabilità della magistratura e delle forze di polizia giudiziaria, nonché alle responsabilità professionali di chi informa, non si può meccanicamente sovrapporre una sorta di generico ruolo censorio del Garante, che tuttavia ha già mostrato le sue capacità di intervento quando si è trattato di affrontare precise situazioni.

L´appello morale dell´ "Osservatore Romano" mette in luce come la risposta a determinati eccessi, quando si manifestino con particolare evidenza, esiga una reale e comune crescita culturale di tutte le parti in causa e dell´intera società, in grado di assicurare alle persone il rispetto loro dovuto."