Newsletter 21 - 27 febbraio 2000

• AIDS:rafforzare garanzie e misure di sicurezza.
• Privacy: parte l´iter per l´adozione di nuovi codici deontologici.
• Il decreto Clinton sulle informazioni genetiche.
• Multa del Garante spagnolo per una "e-mail" indesiderata.

AIDS: rafforzare garanzie e misure di sicurezza

I dati anagrafici relativi a persone sieropositive o affette dall´Aids devono essere conservati separatamente da quelli sanitari. Inoltre se questi ultimi sono contenuti in elenchi, registri e banche dati devono essere trattati con tecniche di cifratura o sistemi che permettano di identificare gli interessati solo in caso di necessità. Entro marzo, inoltre, i soggetti pubblici e privati che trattano dati personali, in particolare di tipo sanitario, dovranno adottare misure minime di sicurezza.

Lo ha ricordato l´Autorità Garante per la protezione dei dati personali in un parere pronunciato su richiesta della Lega italiana per la lotta all´AIDS (LILA) riguardo all´applicazione delle norme che disciplinano la tutela della privacy rispetto alla sorveglianza epidemiologica dei casi di infezione da HIV e all´obbligo di denuncia dei casi di AIDS conclamato.

Il Garante ha ribadito che la normativa in materia di privacy, e da ultimo il decreto legislativo n. 282 del 1999 riguardante il trattamento dei dati personali in ambito sanitario, non ha abrogato le disposizioni della legge n. 135 del 1990 sulla lotta all´AIDS. Quest´ultima prevede, da un lato, che "nessuno può essere sottoposto, senza il suo consenso ad analisi tendenti ad accertare l´infezione da HIV, salvo che per motivi di necessità clinica e nel proprio interesse" e, dall´altro "che la rilevazione statistica della infezione da HIV deve comunque essere effettuata con modalità che non consentano l´identificazione della persona".

Inoltre, la stessa legge n.135 fa espressamente salvo il sistema di sorveglianza epidemiologica anche per quanto riguarda la notifica obbligatoria dei casi di AIDS conclamato. In tali situazioni, il medico che identifica un caso di AIDS è tenuto a compilare l´apposita scheda di notifica contenente i dati anagrafici del paziente diagnosticato e a trasmetterla all´autorità sanitaria con l´espressa garanzia che le informazioni riprodotte sulla scheda hanno carattere confidenziale e saranno utilizzate ai soli fini di sorveglianza epidemiologica.

Lo speciale regime di tutela previsto nel nostro ordinamento per le informazioni relative all´AIDS e all´infezione HIV, ha evidenziato il Garante, si inserisce nel quadro delle garanzie previste dalla legge n. 675/96 sulla protezione dei dati, che esige una protezione rafforzata attraverso un articolato sistema in via di completamento. Oltre al rispetto dei principi di correttezza e di pertinenza richiesti per il trattamento di dati sensibili da parte dei soggetti pubblici, gli organismi sanitari dovranno, pertanto, adottare specifiche cautele a tutela della riservatezza degli interessati. Tra queste assume carattere di priorità la separazione dei dati anagrafici da quelli sanitari e la cifratura delle informazioni contenute in elenchi o banche dati.

Per quanto riguarda, invece, le predette misure minime di sicurezza dei dati, l´Autorità ha precisato che le norme contenute nel regolamento sulla sicurezza nel trattamento di dati personali (D.P.R. 28 luglio 1999, n. 318, pubblicato in G.U. n. 216/99) impongono l´adozione, da parte di chi utilizza i dati, di idonee cautele e accorgimenti di tipo organizzativo e tecnico allo scopo di evitare la distruzione, la perdita e l´uso illecito delle informazioni raccolte, elaborate e conservate.

Per l´accesso ai dati "particolari" (sensibili e giudiziari) è previsto che il titolare o, se designato, il responsabile del trattamento rilasci specifiche autorizzazioni agli incaricati del trattamento o della manutenzione dei dati sensibili o di carattere giudiziario. Il rispetto di questi principi, conclude il Garante, dovrà essere ancora più accurato quando si trattano informazioni inerenti all´AIDS o all´infezione da HIV dalla cui circolazione può derivare un grave pregiudizio per la vita privata e la dignità personale degli interessati.

Privacy: parte l´iter per l´adozione di nuovi codici deontologici

Il Garante ha avviato le procedure per l´adozione di codici deontologici per diversi ed importanti settori. Con un provvedimento pubblicato nella Gazzetta Ufficiale n. 46 di oggi 25 febbraio, l´Autorità ha promosso la sottoscrizione di codici deontologici e di buona condotta relativi al trattamento di dati personali utilizzati per finalità storiche, statistiche, di ricerca scientifica e investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, nonché per i trattamenti di dati effettuati da organismi ed operatori sanitari e da istituzioni bancarie e finanziarie.

In base a quanto previsto dal provvedimento del Garante, tutti i soggetti pubblici e privati maggiormente rappresentativi e interessati a questo tipo di trattamenti (comprese le società scientifiche e le associazioni professionali), che abbiano titolo a partecipare all´elaborazione e all´adozione dei rispettivi codici deontologici, potranno darne comunicazione al Garante (Largo del Teatro Valle, 6 - 00135 Roma) entro il prossimo 31 marzo (anche attraverso l´indirizzo e-mail: codici@garanteprivacy.it).

La legge n. 675/96 sulla privacy attribuisce infatti, tra l´altro, al Garante il compito di promuovere, nell´ambito delle categorie interessate, la sottoscrizione di codici di deontologia e di buona condotta in determinati settori di attività, di verificarne la conformità alle leggi e ai regolamenti anche attraverso le osservazioni di soggetti interessati e di contribuire a garantirne la diffusione e il rispetto.

Il primo di questi codici ad essere emanato è stato quello relativo all´attività giornalistica, elaborato dal Consiglio Nazionale dell´Ordine dei giornalisti, ed entrato in vigore nell´agosto del 1998.

Come quello sui giornalisti, anche il codice in materia di investigazioni difensive e di dati utilizzati per far valere o difendere un diritto in sede giudiziaria è espressamente previsto dalla legge n. 675/96. Per quanto riguarda l´ambito storico, statistico e della ricerca scientifica, tale adempimento è, invece, previsto dal decreto legislativo 30 luglio 1999, n. 281 che fissa al prossimo 1° aprile il termine per promuovere la sottoscrizione di uno o più codici deontologici, mentre per il trattamento di dati idonei a rivelare lo stato di salute da parte di organismi e di esercenti le professioni sanitarie occorre fare riferimento al decreto legislativo 11 maggio 1999, n. 135.

Oltre agli adempimenti contemplati da specifiche disposizioni di legge, l´Autorità ha deciso di sollecitare l´adozione di un ulteriore codice volto a disciplinare i diversi profili applicativi emersi in materia di privacy nel settore bancario e finanziario.

Con successivi provvedimenti l´Autorità verificherà e certificherà la conformità dei singoli schemi di codice alle leggi e ai regolamenti vigenti e adotterà le misure necessarie ad assicurarne la diffusione e il rispetto.

Il Garante, infine, si è riservato di promuovere ulteriori codici di deontologia in altri settori di rilevante interesse generale.

Il decreto Clinton sulle informazioni genetiche

Gli enti federali statunitensi non possono discriminare i propri dipendenti o i soggetti che si candidano a un impiego pubblico sulla base di dati personali di carattere genetico. Il divieto è contenuto in un decreto firmato l´8 febbraio scorso dal presidente Bill Clinton e mira a garantire l´applicazione di una severa politica di pari opportunità nei rapporti di lavoro che vedono coinvolta l´amministrazione federale Usa. Il provvedimento riguarda il trattamento delle informazioni relative ai test genetici (Dna, Rna, cromosomi, proteine o metaboliti), alla comparsa di una patologia, al quadro clinico o a un disturbo dell´interessato o dei suoi familiari e in particolare i dati acquisiti attraverso il monitoraggio effettuato sui dipendenti al fine di accertare eventuali modificazioni insorte a seguito dell´esposizione a sostanze tossiche e i dati raccolti per scopi diagnostici, terapeutici o di ricerca.

Il decreto presidenziale stabilisce una serie di principi non discriminatori in base ai quali è fatto divieto ai dipartimenti e alle agenzie federali di licenziare un dipendente o di evitare o rifiutare di assumere un candidato a causa di informazioni genetiche protette che lo riguardino. Il divieto si estende anche a comportamenti suscettibili di determinare disparità di trattamento in relazione alla posizione lavorativa o retributiva del dipendente o alle sue opportunità di impiego. I dipartimenti e le agenzie federali non possono, inoltre, chiedere, raccogliere, acquisire e neppure rivelare le informazioni genetiche protette in loro possesso a meno che queste siano necessarie per lo svolgimento di ricerche in materia di lavoro e sanità (comunque sottoposte ad un particolare regime di garanzia), la loro esibizione sia prevista da una legge federale o richiesta in base a un provvedimento emanato dall´autorità giudiziaria. Il dipartimento o l´agenzia federale sono, inoltre, tenuti a conservare le informazioni genetiche protette alla stregua dei dati sanitari riservati e a tenerle in fascicoli separati da quelli contenenti le informazioni di carattere generale dei dipendenti.

Le amministrazioni interessate dal decreto possono, invece, chiedere informazioni genetiche protette se tali dati sono necessari a stabilire la necessità di ulteriori accertamenti medici volti a diagnosticare una patologia o un quadro clinico suscettibili di impedire lo svolgimento di mansioni fondamentali per l´esecuzione della prestazione lavorativa occupata o ambita.

Il decreto consente, infine, di attivare il monitoraggio genetico degli effetti biologici delle sostanze tossiche sul luogo di lavoro in presenza del consenso espresso per iscritto dal dipendente e a condizione che quest´ultimo sia messo a conoscenza dei risultati e di tutte le informazioni genetiche protette eventualmente acquisite nel corso dell´indagine. Il datore di lavoro riceve, inoltre, dalle autorità sanitarie che effettuano i rilievi i risultati del monitoraggio soltanto in forma

aggregata in modo tale da non rivelare l´identità di singoli dipendenti.

Multa del Garante spagnolo per una “e-mail” indesiderata
(articolo pubblicato su El Pais dell´11 febbraio)

La prima multa della Agencia de Protección de Datos (APD) a tutela della riservatezza su Internet ha colpito la ditta AWS Informática Aplicada, per un importo di 10.000.001 pesetas [pari a ca. 116 milioni di lire]. La ditta ha infatti voluto persistere nell´invio di un messaggio di posta elettronica ad un privato nonostante che quest´ultimo avesse manifestato di non desiderare l´invio di messaggi. Secondo Juan Manuel Fernández Lopez, direttore della APD, "Internet è soggetto alle norme che tutelano la riservatezza".

Fernández Lopez ha spiegato a El Pais che durante un recente incontro fra tutte le Autorità di protezione dati dell´Unione Europea si è concordato sul fatto che le direttive a tutela della riservatezza delle persone rispetto al trattamento di dati e alle telecomunicazioni si applicano anche ad Internet, il quale è egualmente soggetto alla normativa in questione.

Il direttore della APD ha ammesso che "può risultare più difficile sanzionare una violazione della privacy operata da un soggetto che si trovi, ad esempio, in Corea anziché a Madrid, ma tutte le infrazioni commesse attraverso Internet sono soggette alle direttive in questione e alle leggi che danno loro attuazione – come la vigente Ley de Protección de Datos spagnola".

La prima sanzione spagnola per una violazione della riservatezza attraverso Internet ha colpito la società sopra menzionata, che ha inviato vari messaggi di posta elettronica con contenuti pubblicitari ad una persona che aveva manifestato inequivocabilmente la propria contrarietà a riceverli.

Dieci milioni di pesetas

Il direttore della AWS Informática Aplicada aveva risposto con una nuova e-mail pubblicitaria, indirizzata alla persona che aveva manifestato la volontà di non ricevere messaggi, e accompagnata da espressioni del tipo "le spezzo le gambe". Questo messaggio di posta elettronica costerà all´impresa denunciata 10 milioni di pesetas (circa 120 milioni di lire, n.d.r.), l´importo minimo previsto in caso di sanzioni per colpa grave (il massimo è pari a 50 milioni di pesetas) – anche se la sanzione può essere impugnata per via giudiziale tramite procedimento contenzioso amministrativo.

La norma di riferimento, secondo fonti della APD, è l´articolo 43.3.d della Ley Orgánica relativa al trattamento automatizzato di dati (LORTAD) personali – vigente all´epoca dei fatti e attualmente abrogata. La nuova Ley Orgánica de Protección de Datos de Carácter Personal è entrata infatti in vigore il 14 gennaio scorso.

La colpa grave individuata consiste nel trattamento di dati personali senza il consenso dell´interessato. Secondo quanto illustrato dal direttore della APD, "inviare messaggi a un indirizzo di posta elettronica equivale a infilare messaggi pubblicitari nella cassetta delle lettere di un´abitazione – attività che non è sanzionabile, a meno che i messaggi, diretti specificamente ad una persona, siano inviati contro la volontà del destinatario". La novità della multa consiste nel fatto che si tratta della prima irrogata in Spagna per una violazione del diritto alla riservatezza attraverso Internet.