g-docweb-display Portlet

Newsletter 23 giugno - 6 luglio 2003

Stampa Stampa Stampa

 

N. 176 del 23 giugno - 6 luglio 2003


 

 Approvato il "Codice" della privacy

 Prorogate le Autorizzazioni generali per i dati sensibili e giudiziari

 Varato in Gran Bretagna il Codice di buona condotta sul controllo dei lavoratori

 

 

Approvato il  "Codice" della privacy

Maggiori garanzie per i cittadini. Semplificazioni per esercitare i diritti e adempiere agli obblighi

 

E´ ispirato all´ introduzione di nuove garanzie per i cittadini,  alla razionalizzazione delle norme esistenti e alla semplificazione,  il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno scorso e denominato "Codice" della privacy. Il provvedimento, sulla base dell´esperienza di 6 anni, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della "giurisprudenza" del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.


Il Codice è diviso in tre parti: la prima dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato; la seconda è la parte speciale dedicata a specifici settori: questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori),  completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori; la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all´Ufficio del Garante.


Il  Codice, che  rappresenta il primo tentativo al mondo di conformare le innumerevoli disposizioni relative anche in via  indiretta alla privacy, entrerà i vigore quasi integralmente il 1 gennaio 2004.

Ecco, in sintesi,  alcuni dei punti rilevanti del testo, che in molte parti recepisce e codifica le numerose pronunce emanate e i pareri forniti in questi anni dal Garante.


Notificazione. Una delle principali semplificazioni riguarda l´adempimento della notificazione al Garante, ovvero dell´atto con cui l´impresa, il professionista o la pubblica amministrazione segnala all´Autorità i trattamenti di dati che si intendono effettuare. Mentre con l´originale impianto della legge 675/1996, e le successive modificazioni, dovevano notificare tutti i soggetti non esplicitamente esentati, nel testo unico si rovescia l´impostazione e si indicano solo i pochi casi nei quali la notifica va effettuata. La notifica dovrà essere effettuata solo in particolari casi di trattamento di dati sensibili (specie se sanitari) con determinate modalità d´uso, ma anche per trattamenti particolarmente a rischio, effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità. Non solo diminuiscono le ipotesi di notifica obbligatoria, ma vengono snellite anche le modalità della stessa: solo per via telematica, seguendo le indicazioni del Garante quanto all´utilizzo della firma digitale.


Consenso. Il codice della privacy sviluppa il principio del bilanciamento degli interessi con uno snellimento degli adempimenti a carico delle aziende. L´area del consenso viene sostanzialmente confermata per  ipotesi già esistenti (artt. 11, 12 e 20 della legge 675/1996), con la previsione di alcune altre ipotesi di esonero con riferimento a settori specifici (tra le altre, quelle di utilizzo per perseguire un legittimo interesse del titolare con particolare riferimento all´attività  dei gruppi bancari e per i trattamenti effettuati da associazioni no profit con riferimento a soci e aderenti).

 

Informativa. Rimane fermo l´adempimento dell´informativa agli interessati preventiva al trattamento dei dati. Il Garante può, comunque, individuare modalità semplificate in particolare per i servizi telefonici di assistenza e informazione al pubblico (call center).

 

Sanità. In ambito sanitario si semplifica l´informativa da rilasciare ai pazienti e si consente di manifestare il consenso al trattamento dei dati con un´unica dichiarazione resa al medico di famiglia o all´organismo sanitario (il consenso vale anche  per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, nonché da più strutture ospedaliere e territoriali). Per il settore sanitario vengono inoltre codificate misure per il rispetto dei diritti del paziente: distanze di cortesia, niente appelli nominativi dei pazienti in sala di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui malati ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionali. Viene introdotta la possibilità di non rendere immediatamente identificabili in farmacia gli intestatari di ricette. Per i dati genetici viene previsto il rilascio di un´apposita autorizzazione da parte del Garante, sentito il Ministro della salute.

 

Lavoro. Viene confermata l´elaborazione di un codice di deontologia e buona condotta che dovrà fissare regole per l´informativa ed il consenso anche degli annunci per finalità di occupazione (selezione del personale) e della ricezione dei curricula. Il Codice affronta anche la questione dei controlli a distanza con la riaffermazione di quanto sancito dall´ articolo 4 dello Statuto dei lavoratori (legge 300/1970).Il lavoratore domestico è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita familiare.

 

Tlc. Il codice si inserisce nella linea di  tendenza europea e stabilisce un nuovo e più ridotto termine massimo per la conservazione dei dati del traffico telefonico per ragioni di accertamento e repressione reati, prescrivendo un termine di trenta mesi rispetto a quello attuale di 5 anni, secondo modalità che dovranno essere stabilite con decreto ministeriale. Ridotto periodo di conservazione, anonimato e necessità del consenso per il trattamento dei dati sulla localizzazione dei cellulari.

 

Trattamento in ambito giudiziario. Vengono meglio garantite le parti nei processi. Il Codice prevede infatti che l´interessato possa chiedere, nel processo, di apporre sulla sentenza un´annotazione con la quale si avvisa che, nel caso di pubblicazione del verdetto su riviste giuridiche o su supporti elettronici o in caso di diffusione mediante reti telematiche, devono essere omessi i dati dell´interessato. Con disposizione espressa si attribuisce maggiore tutela ai minori nel processo, non solo in quello penale, ma anche nei settori civili e amministrativi.

 

Pubblica amministrazione.  Il Codice innova anche, accogliendo indicazioni del Garante,  nella materia della notificazione degli atti giudiziari e degli atti amministrativi e impone la regola della busta chiusa per i casi di notifica effettuata a persona diversa dal destinatario. Viene sancita espressamente la necessità per gli enti pubblici di approvare regolamenti per i trattamenti dei dati sensibili, ma solo con il parere conforme del Garante.

 

Liste elettorali. Le liste elettorali non possono essere più usate per promozione commerciale: solo per scopi collegati alla disciplina elettorale e per finalità di studio ricerca statistica, scientifica o storica o a carattere socio assistenziale.

 

Internet, videosorveglianza, direct marketing. Per settori così delicati il codice conferma la previsione di appositi codici deontologici.

 

 

 

 

Prorogate le autorizzazioni generali per i dati sensibili e giudiziari


L´Autorità Garante per la protezione dei dati personali – in vista dell´entrata in vigore del "Codice" sulla protezione dei dati personali contenente le disposizioni  legislative e regolamentari in materia - ha disposto la proroga al 30 giugno 2004 dell´efficacia delle sei autorizzazioni generali per il trattamento dei dati sensibili e di quella per il trattamento dei dati giudiziari, rilasciate il 31 gennaio 2002.
(COMUNICATO DEL 30 GIUGNO 2003)


 

 

Varato in codice inglese sul controllo dei lavoratori

Necessario informare i dipendenti. Controlli solo per scopi specifici


Il dipendente ha una legittima aspettativa di privacy anche sul luogo di lavoro. Non è sufficiente che il datore di lavoro ottenga il consenso dei lavoratori ad effettuare controlli, ma occorre rispettare regole e modalità precise di proporzionalità. I controlli occulti sono ammessi solo in casi eccezionali  ed esclusivamente a fini probatori. I dati devono essere conservati per un tempo limitato.

 

Queste le più significative garanzie previste nel codice di buona condotta relativo al controllo dei lavoratori (disponibile all´indirizzo http://www.dataprotection.gov.uk/...) che l´Autorità per la protezione dei dati personali del Regno Unito (Information Commissioner) ha pubblicato lo scorso 11 giugno.  Il codice, frutto di una lunga serie di consultazioni con rappresentanti del mondo imprenditoriale e dei lavoratori, riconosce la necessità di monitorare il rendimento o la condotta dei dipendenti, in forma sistematica o occasionale, ma chiede il rispetto di determinate condizioni e garanzie, ed invita anche  i datori di lavoro a compiere in ogni caso una valutazione preliminare dell´impatto del monitoraggio in termini di costi/benefici.

 

Il documento recentemente pubblicato è la terza parte del più ampio Codice di buona condotta in materia di lavoro e protezione dati.Le altre due parti sinora disponibili riguardano la fase di reclutamento e selezione del personale e la tenuta della documentazione amministrativa. Entro il 2003 sarà pubblicata la quarta parte, relativa al trattamento dei dati sanitari nel rapporto di lavoro (compreso il ricorso a test genetici).

 

Dopo avere ricordato alcuni dei concetti fondamentali derivanti dalla legislazione in materia e dalla Direttiva 95/46/CE (dato personale, trattamento, dato sensibile), il codice fornisce esempi di cosa debba intendersi per "monitoraggio", ricordando che non esiste una definizione a termini di legge. Viene sottolineata, in particolare, la necessità per i datori di lavoro di compiere una valutazione preliminare di impatto che stabilisca, alla luce della Direttiva e della legge nazionale, la proporzionalità del ricorso al monitoraggio rispetto alle finalità che si intendono perseguire. Tale valutazione preliminare dovrà individuare le possibili alternative al controllo  sistematico dei dipendenti (monitoraggio mirato anziché generalizzato, accertamenti su casi specifici, monitoraggio occasionale anziché sistematico), e definire gli obblighi derivanti dall´attività di sorveglianza. Questi ultimi comprendono, in particolare, l´informativa ai dipendenti, la definizione di meccanismi atti a garantire il diritto di accesso, e l´adozione di misure di sicurezza rispetto alla conservazione dei dati raccolti.

 

Il Codice ritiene, dunque, inopportuna l´utilizzazione del consenso del dipendente per legittimare il monitoraggio: il consenso, infatti, deve essere espresso "liberamente", circostanza opinabile nel caso specifico del rapporto fra datore di lavoro e dipendente, ed è comunque sempre revocabile.

 

Il Codice indica una serie di "raccomandazioni" rivolte ai datori di lavoro che intendano effettuare il monitoraggio dei dipendenti, una volta compiuta la valutazione di impatto e definito il sistema di garanzie sopra ricordato. Va sottolineato che al Codice è allegato una sorta di vademecum per le piccole imprese, rispetto alle quali sono state elaborate indicazioni più sintetiche. Le raccomandazioni si articolano in sette punti:

  • Sistema di gestione della protezione dei dati. E´ essenziale sviluppare una cultura aziendale fondata sul rispetto della vita privata e svolgere attività di sensibilizzazione all´interno dell´azienda. Occorre censire i trattamenti di dati personali effettuati in azienda, e definire le responsabilità dei singoli soggetti, evitando di raccogliere dati personali non pertinenti o eccedenti rispetto a quanto necessario per la gestione del rapporto di lavoro. Si deve diffondere la conoscenza del Codice fra tutti i lavoratori, consultando, nei modi opportuni, le rappresentanze sindacali o di altra natura rispetto all´attuazione del codice stesso.
  • Principi generali del monitoraggio. Il punto di partenza è che il monitoraggio dei lavoratori costituisce, in linea di principio, una violazione della privacy. Il dipendente ha una legittima aspettativa di privacy anche sul luogo di lavoro. Il monitoraggio deve essere effettuato soltanto per finalità specifiche, ed esclusivamente se risulta giustificato alla luce della valutazione preliminare di impatto. E´ necessario informare adeguatamente i dipendenti delle caratteristiche, dell´entità e delle finalità del monitoraggio. Il monitoraggio "occulto" è ammissibile solo in casi eccezionali (esclusivamente riferiti al sospetto di illeciti penali). La trasparenza nei rapporti con i dipendenti implica l´obbligo di informare il lavoratore prima di prendere qualsiasi provvedimento all´esito di un´attività di monitoraggio dalla quale risultino elementi a lui sfavorevoli.
  • Comunicazioni elettroniche. Se si desidera monitorare le comunicazioni elettroniche sul luogo di lavoro (telefono, fax, posta elettronica, Internet) è necessario seguire un vademecum del quale il codice fornisce un esempio. Suo fulcro è l´informazione del dipendente rispetto a modalità e finalità del monitoraggio, natura delle informazioni monitorate, conseguenze in caso di violazione del codice. Particolarmente interessanti sono le raccomandazioni riferite al monitoraggio delle comunicazioni di posta elettronica (informativa adeguata, divieto di aprire le e-mail soprattutto se hanno natura chiaramente personale, divieto di monitorare, tranne in casi eccezionali, account di posta elettronica personali). Occorre, infine, verificare il rispetto di altre norme di legge, soprattutto in materia di intercettazioni (nel Regno Unito, il Regulation of Investigatory Powers Act 2000).
  • Videosorveglianza. Dopo aver rinviato alle indicazioni contenute nel Codice relativo all´impiego di sistemi di videosorveglianza in genere (Information Commissioner´s CCTV Code, disponibile all´indirizzo www.informationcommissioner.gov.uk), il Codice individua alcune raccomandazioni specifiche per il contesto lavorativo: utilizzare sistemi di audio  o videosorveglianza in maniera mirata per settori particolarmente a rischio; informare chiaramente i lavoratori del ricorso a sistemi di questo tipo; informare adeguatamente anche soggetti estranei dell´esistenza di impianti di videosorveglianza  attraverso pannelli o altri dispositivi.
  • Monitoraggio "occulto". Sia esso effettuato attraverso videosorveglianza o con il controllo delle comunicazioni elettroniche, è giustificabile soltanto se il datore di lavoro ha motivo di sospettare la commissione di illeciti penali tali da rendere inopportuna l´informazione dei soggetti coinvolti. Deve essere utilizzato in casi eccezionali ed esclusivamente a fini probatori, per un periodo predeterminato al termine del quale ogni trattamento occulto deve cessare. In ogni caso, si devono rispettare le legittime aspettative di privacy del dipendente (ad esempio, non si dovranno utilizzare sistemi di videosorveglianza in ambienti quali spogliatoi o bagni).
  • Sistemi di localizzazione. I sistemi che consentono di localizzare la posizione geografica di un veicolo assegnato specificamente ad una certa persona (ad esempio, l´autista di un´azienda) raccolgono dati personali. E´ necessario informare chiaramente il dipendente della natura e delle finalità del monitoraggio, offrendo la possibilità di disabilitare la funzione di sorveglianza se e quando il veicolo sia destinato ad un uso anche privato.
  • Raccolta di informazioni presso soggetti terzi. E´ necessario applicare il principio di pertinenza e non eccedenza nel raccogliere dati relativi ai propri dipendenti attraverso soggetti terzi (ad esempio, centrali rischi). I dati raccolti non devono essere conservati per un periodo superiore a 6 mesi, salvi gli obblighi di legge. In ogni caso, il dipendente deve essere informato dell´esistenza di tali dati e delle finalità della loro raccolta.

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

Scheda

Doc-Web
195028
Data
23/06/03

Tipologie

Newsletter