g-docweb-display Portlet

Newsletter 15 - 21 novembre 2004

Stampa Stampa Stampa

 

N. 234 del 15 - 21 novembre 2004

•  Sanzioni a 11 Asl per trattamenti non trasparenti
•  Delitto di Manfredonia: occorre informare, ma con sobrietà
•  Che cos’è un "dato personale”?

 

Sanzioni a 11 Asl per trattamenti non trasparenti
Dalle ispezioni del Garante sono emersi vari trattamenti di dati genetici e sulla salute che le strutture non avevano comunicato all’Autorità

Sedici sanzioni amministrative già contestate per omessa o ritardata notificazione di trattamenti di dati particolarmente delicati, al termine di un nuovo ciclo di ispezioni disposte dall’Autorità e curato dal Nucleo funzione pubblica e privacy della Guardia di finanza nei confronti di aziende sanitarie locali, laboratori di analisi e società di lavoro interinale. Alcuni provvedimenti di blocco del trattamento sono in fase di adozione affinché i trattamenti di dati non proseguano fino a quando non saranno regolarizzati. Le contestazioni potrebbero aumentare perché per altri casi si stanno ancora svolgendo accertamenti.

Entro il 30 aprile 2004, tutte le società e gli organismi pubblici che effettuano trattamenti di dati genetici, biometrici, dati sullo stato di salute, sulla vita sessuale, sulle adesioni politiche, convinzioni religiose, etnia, avrebbero dovuto inoltrare al Garante, per via telematica, la notifica di tali trattamenti. Chi non ha provveduto agli adempimenti che il Codice prescrive al fine di trasparenza nei confronti degli interessati rischia di essere sanzionato anzitutto con il pagamento di una somma che va da un minimo di diecimila a sessanta mila euro e con la pubblicazione su uno o più giornali del provvedimento. La notificazione al Garante, infatti, non è una “mera formalità”, ma un preciso obbligo.

L’opera di semplificazione degli adempimenti introdotta dal Codice sulla protezione dei dati personali in vigore dal primo gennaio 2004, ha ristretto la notificazione all’Autorità ai soli casi delicati espressamente indicati nel Codice e desumibili anche dal  provvedimento di esonero del Garante del il 31 marzo scorso. I casi in esame dovevano essere però notificati, trattandosi di trattamenti di dati particolarmente delicati. Più della metà delle trenta società sottoposte a verifiche non sono risultate invece in regola con la normativa. Si tratta in prevalenza di Asl, (11 sulle dodici controllate), di laboratori di analisi (3 sui tre controllati), di una società di lavoro interinale e di una banca.

Altre conseguenze potranno derivare dall’inutilizzabilità dei dati trattati in violazione di legge disposta dal codice. L’attività ispettiva, disposta dal Garante nei confronti di alcune categorie di soggetti che per il tipo di attività svolta potrebbero effettuare trattamenti di dati  per i quali è richiesta la notificazione, è stata delegata al Nucleo funzione pubblica e privacy della Guardia di finanza - unità specializzata che collabora con l’Autorità - che ha eseguito gli accertamenti presso le varie società ed ha proceduto alla contestazione diretta delle sanzioni amministrative nei casi in cui sono state rilevate violazioni.

Le società che hanno ricevuto la contestazione possono peraltro avvalersi della possibilità dell’oblazione, prevista dalla legge, versando il doppio del minimo della sanzione pari a ventimila euro, estinguendo in questo modo l’illecito amministrativo, oppure contestarla inviando memorie difensive al Garante. In questo ultimo caso, però, se l’Autorità ritiene comunque fondato l’accertamento determina la somma dovuta per la violazione e ne ingiunge il pagamento insieme con le spese. Resta comunque ferma la necessità che i trattamenti siano pienamente regolarizzati per essere proseguiti.

Ulteriori ispezioni sulla notificazione sono in programma nei prossimi mesi.



Delitto di Manfredonia: occorre informare, ma con sobrietà

Il Garante (composto da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) interviene sul caso della ragazza uccisa a Manfredonia e invita quanti operano nel mondo dell’informazione al rispetto dei diritti e della dignità delle vittime di questo tipo di reati. I giornalisti devono valutare, con la massima attenzione e responsabilità, la effettiva necessità di riferire dettagli e particolari non essenziali ai fini di una corretta informazione sulla vicenda. Anche tenendo presenti le disposizioni penali che tutelano la riservatezza delle vittime di violenza sessuale.

É doveroso evitare la spettacolarizzazione di  fatti di cronaca gravissimi, specie nel caso risultino eventualmente coinvolti altri minori.

La sobrietà nelle cronache non ostacola il giusto dovere di informare su fatti che colpiscono l’opinione pubblica.
[Comunicato stampa del 17 novembre 2004]



Che cosa è un “dato personale”?
Studio inglese sul concetto di dato personale. Proposti alcuni modelli teorici per un’applicazione armonica della direttiva Ue sulla privacy

Un ponderoso studio dell’Università di Sheffield, condotto per l’Autorità per la protezione dei dati del Regno Unito (http://www.informationcommissioner.gov.uk/...PDF), ha cercato di definire che cosa costituisca un “dato personale” secondo un modello concettuale rapportato, in primo luogo, alle definizioni contenute nella Direttiva 95/46/CE. Ne emerge la difficoltà di definire il dato personale in maniera univoca, essendo necessario tenere conto sia del contesto, che può rendere “personale” un dato in determinati casi, sia delle componenti intrinseche al dato (vi sono alcuni dati che sono per loro natura personali in quanto univocamente identificativi di una determinata persona: è il caso del DNA, a giudizio degli Autori). Lo studio propone, dunque, alcuni modelli teorici di “dato personale” che possono rivelarsi utili, soprattutto alle autorità di protezione dati, per applicare coerentemente la normativa nazionale e valutare la natura personale o meno di un determinato elemento informativo. Lo studio sottolinea, inoltre, che ogni dato personale è inscindibilmente connesso alla dignità umana: “è dato personale ogni informazione relativa alla dignità della persona, per cui qualsiasi vulnus di tale informazione è arrecato ai diritti ed alle libertà fondamentali della persona”.

Lo studio ha seguito tre filoni di indagine: un’analisi della letteratura sull’argomento; una rassegna delle definizioni formali di “dato personale” presenti nelle legislazioni nazionali e sovranazionali; un’analisi delle prassi seguite dalle autorità di protezione dati di numerosi Paesi UE e non-UE sulla base delle risposte fornite ad un questionario fatto circolare all’inizio del 2004. Ne è emersa un’assenza sostanziale di univocità sul concetto di “dato personale” alla luce della definizione di cui alla direttiva 95/46 (“qualsiasi informazione concernente una persona fisica identificata o identificabile”), non solo fra diversi Paesi, ma anche all’interno dello stesso Paese (in base alle risposte fornite al questionario).

Tuttavia, l’analisi concettuale ha permesso di evidenziare che nel definire il “dato personale” si utilizzano tre criteri principali, spesso in modo intercambiabile: a) la capacità del dato di identificare una persona fisica; b) la capacità del dato di avere effetti su una persona fisica; c) la capacità del dato di identificare ed avere effetti su una persona fisica. Per tutti questi aspetti, risulta fondamentale il ruolo svolto dal contesto nel definire il concetto di “sfera privata” e, quindi, nel valutare se il dato sia “personale” o meno.

Per tenere fede all’obiettivo della direttiva 95/46, che è quello di creare un sistema europeo armonizzato di protezione dei dati sostenendo, al contempo, lo sviluppo del mercato unico, lo studio propone di elaborare modelli teorici che servano da ausilio nel definire che cosa costituisca un dato personale. In tal modo si potrà evitare che un’applicazione non conforme del concetto di “dato personale” mini alla radice il raggiungimento dell’obiettivo di armonizzazione inerente alla direttiva 95/46/CE.

Lo studio postula che ciascun  modello teorico (basato, è bene sottolinearlo, sulle risultanze dello studio della letteratura specializzata, della legislazione, e degli approcci empirici sopra descritti) debba partire dalla definizione del  “concetto ideale” di dato personale. In sostanza, i modelli teorici servirebbero da guida per costruire strategie di classificazione che  evidenziano svantaggi e svantaggi, lasciando poi ai singoli Paesi (ed alle singole Autorità) il compito di selezionare quella giudicata più adeguata.

Quali sono questi modelli teorici? Partendo dalla premessa che ciascuno di essi è incentrato sul valore preponderante assegnato ad un singolo elemento significativo, lo studio ne individua tre.

  • Il modello dell’ “identificatore univoco” (dato personale = informazione univocamente identificativa di una persona fisica). Nel valutare la natura di un dato, cioè, si prescinde da ogni considerazione contestuale. Questo comporta una considerevole riduzione delle categorie di dati classificabili come “personali”, a meno di stabilire una sorta di gerarchia sulla base della rispondenza al criterio ideale dell’identificazione univoca. In tale gerarchia, ad esempio, il vertice sarebbe occupato dal DNA, ed a seguire da tutti gli altri dati. Dunque, sempre a titolo esemplificativo, in questo modello l’impronta digitale sarebbe più vicina al concetto di dato personale del semplice “nome”. Il problema è stabilire dove tracciare il confine fra quanto è dato personale e quanto non lo è, ed ovviamente il riferimento al contesto non aiuta, proprio perché in questo modello concettuale si prescinde dalla significatività del contesto.
  • Il modello degli “effetti indipendenti dal contesto” (dato personale = informazione in grado di avere effetti su una persona fisica a prescindere dal contesto di riferimento). Anche in questo caso appare problematico definire un elenco di dati in grado di “avere effetti” su una persona, proprio perché si tratta di formulare un giudizio affidabile sugli effetti che una data informazione può avere rispetto ad una persona fisica, a prescindere dal contesto. Un’ipotetica strategia di classificazione basata su tale approccio potrebbe, comunque, tenere conto dell’importanza del contesto sociale nella valutazione degli effetti sulla privacy. Questo comporta, naturalmente, il problema di capire quale sia il contesto sociale di riferimento per la singola persona, e quali categorie di informazione abbiano necessariamente effetti sulla privacy di tale persona all’interno del contesto sociale di riferimento. E’ chiaro, inoltre, che una strategia di classificazione basata su questo modello teorico non è focalizzata sul concetto di “identificazione” che pure è parte integrante della definizione di “dato personale” contenuta nella direttiva 95/46, e dunque non sembra particolarmente idonea a dare conto dei principi comunitari.
  • Il modello delle “strategie dipendenti dal contesto” (dato personale = informazione in grado di identificare o avere effetti su una persona fisica in base al contesto di riferimento). In questo caso, il rischio è di ritenere tutti i dati come potenzialmente personali, essendo qualunque informazione  in grado di identificare e/o avere effetti su una persona fisica nelle idonee circostanze. Per ovviare a tale rischio, si potrebbe adottare una strategia reattiva, tesa a valutare se una certa informazione sia realmente in grado di identificare e/o avere effetti su una persona fisica nelle circostanze specifiche. Meglio ancora, a giudizio degli autori dello studio, sarebbe adottare una strategia in cui si diano indicazioni più precise sulla possibilità che un dato sia considerato personale in futuro – ossia, se è probabile che si ripresentino le condizioni contestuali per le quali un dato permette di identificare e/o avere effetti su una persona, allora il dato può essere considerato “personale”. Ciò porterebbe alla definizione di un elenco di dati che sarebbero classificati come “personali” a motivo della probabilità del verificarsi di condizioni contestuali “propizie”. Anche questo approccio non è esente da difficoltà, in primo luogo per la necessità di effettuare previsioni sulla maggiore o minore probabilità del verificarsi di determinate circostanze.

A giudizio degli autori  nessuno dei tre modelli teorici sembrerebbe essere sufficiente, in forma isolata, a garantire un’idonea strategia di classificazione del “dato personale”. Appare invece preferibile un approccio composito che tragga spunto da più modelli per costruire una strategia decisionale maggiormente affidabile.

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it