Militari in malattia e accessi alle caserme
Informazioni sulla salute non indispensabili. Il Garante interrompe il trattamento dei dati

Con un provvedimento adottato nei confronti del Comando regionale di una forza di polizia il Garante ha vietato un illecito trattamento di informazioni sulla salute di alcuni militari. Al Comando è stato imposto di interrompere ogni operazione e di limitarsi alla sola conservazione dei dati.

Lo ha stabilito il Garante accogliendo i ricorsi di alcuni sottufficiali che lamentavano una violazione della privacy ogni volta che, in licenza per malattia o in aspettativa, recandosi in caserma trovavano all´ingresso un elenco con i nomi di tutti i militari corredati dalle varie cause dell´assenza. In particolare, accanto ai nominativi dei militari temporaneamente assenti dal servizio che l´amministrazione comunica al responsabile che disciplina gli ingressi in caserma, compariva la dicitura "in convalescenza" o "in aspettativa". Queste informazioni, anche senza l´indicazione di particolari patologie, sono in grado di rivelare lo stato di salute. Per lo scopo perseguito è sufficiente un elenco con i nominativi privo di altre indicazioni.

Dopo una prima istanza rivolta all´amministrazione nella quale si contestava la presenza di tali diciture che a parere dei sottufficiali costituiscono un illecito trattamento di dati sulla salute, insoddisfatti della risposta ricevuta, hanno presentato separati ricorsi al Garante. I militari non contestavano le misure di sicurezza, ma si opponevano al tipo di procedura adottata dall´amministrazione ritenuta lesiva della privacy chiedendone l´interruzione.

Il Garante ha dato loro ragione e ha, dunque, disposto l´interruzione del trattamento illegittimo dei dati.

Contrariamente a quanto sostenuto dal Comando regionale, infatti, l´indicazione del dato relativo all´assenza per "convalescenza" dà luogo ad un trattamento di dati sensibili dal momento che questa informazione è come detto in grado di rivelare lo stato di salute del dipendente e non risulta, peraltro, indispensabile. Con l´introduzione del nuovo Codice i soggetti pubblici per svolgere attività istituzionali devono poi rispettare il principi di necessità: devono, cioè, impiegare solo dati indispensabili, riducendo al minimo l´utilizzazione di dati personali ed identificativi quando le finalità perseguite possono essere altrimenti raggiunte, come nel caso in esame. Per disciplinare l´ingresso dei militari che si assentano dal servizio è sufficiente indicare solo i loro nomi, senza menzionare espressamente la ragione di tale assenza attinente allo stato di salute. Ed anche se l´amministrazione non ha ancora adottato un regolamento in cui specificare i tipi di dati trattati, le operazioni eseguibili, le finalità perseguite, essa deve comunque attenersi a tale principio, altrimenti il trattamento è illecito.

Promulgata la nuova legge francese sulla privacy

Dopo il parere favorevole del Consiglio costituzionale, la Francia ha promulgato la nuova legge sulla protezione dei dati (n. 2004-801) che recepisce la  Direttiva comunitaria 95/46. Rispetto alla precedente legge, che risale al 1978, il nuovo testo  aumenta i poteri sanzionatori dell´autorità di protezione dati (CNIL), elimina l´obbligo di notificazione per i titolari che nominano un "referente per la protezione dei dati" e dispone l´obbligo di sottoporre a valutazione preliminare da parte della CNIL qualsiasi trattamento che comporti il ricorso a tecniche biometriche (per maggiori informazioni e per visionare il testo consolidato della nuova legge, vedi http://www.cnil.fr/...).

All´esito di un lungo tormentato iter legislativo, durato oltre due anni ed iniziato in ritardo rispetto al termine di recepimento previsto dalla Direttiva comunitaria (24 ottobre 1998), il Parlamento francese ha licenziato la nuova legge sulla protezione dei dati destinata a sostituire l´ultraventicinquennale "Loi informatique et liberté".

Il nuovo testo contiene varie modifiche rispetto al precedente. Ne indichiamo di seguito le più significative.

• Obbligo di sottoporre all´autorizzazione preventiva della CNIL i trattamenti di dati effettuati con tecniche biometriche dai soggetti privati. Rispetto ai trattamenti effettuati per conto dello Stato, è richiesto il parere preventivo della CNIL, che deve essere reso di pubblico dominio. Questa disposizione è stata riconosciuta conforme al diritto costituzionale dal Consiglio costituzionale.
• Possibilità per i soggetti che si occupano di tutela del diritto d´autore di creare e gestire database concernenti segnalazioni di reati di falsificazione, da sottoporre comunque all´autorizzazione preventiva della CNIL.
• Creazione dei cosiddetti "Referenti per la protezione dei dati personali" ( "correspondants à la protection des données"), incaricati di vigilare sul rispetto della normativa da parte dei singoli titolari (ai sensi dell´Art. 18(2) della Direttiva 95/46). Tale figura può essere prevista sia nel settore pubblico sia in quello privato: in tal caso viene meno l´obbligo di notificare i trattamenti alla CNIL, a meno che si tratti di trattamenti comunque soggetti ad autorizzazione preventiva. La legge stabilisce che tali referenti devono godere di effettiva indipendenza ed essere in possesso di determinate qualifiche, che saranno precisate successivamente per decreto (questa parte della Legge entrerà in vigore dopo l´emanazione degli appositi decreti attuativi da parte del Governo).
• Ampliamento dei poteri di controllo della CNIL, che adesso potrà condurre ispezioni in loco anche se il titolare vi si oppone, fatta eccezione per alcune categorie di trattamenti (ad esempio, i servizi segreti), rispetto ai quali, tuttavia, la CNIL mantiene il diritto di accesso attraverso i magistrati che fanno parte del collegio. Inoltre, la CNIL potrà, a differenza di quanto avveniva in passato, infliggere sanzioni pecuniarie ai titolari che non rispettino la legge, indipendentemente dal vantaggio economico da essi conseguito. É previsto, infine, un più ampio regime di pubblicità rispetto a tali sanzioni.
• Inasprimento delle sanzioni previste dal Codice penale in caso di violazione delle norme contenute nella Legge in oggetto (fino a 5 anni di reclusione e 300.000 euro  di ammenda, a seconda dei casi). In particolare, è prevista la responsabilità penale delle persone giuridiche con possibilità di dichiararne l´interdizione.

La Newsletter riprenderà le pubblicazioni dopo la pausa estiva