Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter del 25 novembre 2008

Newsletter - Notiziario settimanale - anno X

N. 315 del 25 novembre 2008

• Il garante sanziona le informative incomplete
• Niente diagnosi nei certificati per malattia
• Cartelle cliniche dei defunti accessibili ai familiari

Il Garante sanziona le informative incomplete
Occorre specificare bene modalità del trattamento e soggetti ai quali possono essere comunicati i dati
L'informativa sulla privacy relativa a dati personali raccolti via web deve contenere tutte le informazioni elencate nel Codice in materia di protezione dei dati personali. Lo ha ribadito il Garante privacy che ha ingiunto ad una società il pagamento di seimila euro. La società, tramite il proprio sito web, raccoglieva i dati personali di cittadini interessati a ricevere informazioni sui servizi offerti, che riguardavano l'assistenza allo studio e la preparazione agli esami universitari. Nel sito, in particolare, venivano raccolti indirizzi e-mail e numeri di telefonia mobile, specificando che il recapito telefonico fornito dagli interessati sarebbe stato utilizzato esclusivamente "per un contatto da parte di un commerciale". Il Garante aveva contestato alla società la violazione prevista dal Codice (omessa o inidonea informativa all'interessato). La società non aveva dato corso al pagamento in misura ridotta e si era anzi opposta sostenendo non solo che l'informativa proposta conteneva tutte le informazioni specificate nel Codice, ma anche che gli indirizzi e-mail e i numeri di cellulare raccolti non potessero essere definiti dati personali, sia perché non in grado di identificare una persona, sia perché non compresi tra le tipologie annoverate nella definizione di dato personale fornita dal Codice. Tali motivazioni sono state ritenute inadeguate a giustificare il comportamento dell'azienda. "L'informativa fornita dalla società era gravemente carente" - ha commentato il relatore del provvedimento di ingiunzione, Giuseppe Fortunato -.
 
Agli interessati, infatti, non era dato sapere né le modalità del trattamento dei propri dati, né i soggetti ai quali potessero essere comunicati. Addirittura, gli estremi identificativi del titolare del trattamento riportati sul sito erano incompleti. Nel provvedimento viene inoltre chiarito come il numero di telefonia mobile e l'indirizzo e-mail siano appunto dati personali, tanto che una specifica sezione del Codice è stata dedicata alla disciplina dei trattamenti di dati personali effettuati tramite comunicazioni elettroniche".
 
Niente diagnosi nei certificati per malattia
Il datore di lavoro pubblico non è legittimato a raccogliere certificati di malattia dei dipendenti con l'indicazione della diagnosi. In assenza di specifiche disposizioni, il lavoratore assente per malattia deve fornire un certificato contenente esclusivamente la prognosi con la sola indicazione dell'inizio e della durata dell'infermità.
 
Lo ha ribadito il Garante vietando al Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria (Dap) il trattamento dei dati personali idonei a rilevare lo stato di salute del personale del Corpo della polizia penitenziaria relativi all'indicazione della diagnosi dei certificati di malattia.
 
Il provvedimento (di cui è stato relatore Mauro Paissan) è stato adottato a seguito della segnalazione di un sindacato il quale lamentava il fatto che il Dipartimento dell'amministrazione penitenziaria richiedesse certificati medici del personale di polizia penitenziaria indicanti, oltre alla prognosi, anche la diagnosi.
 
La normativa prevede che la raccolta da parte del datore di lavoro di certificazioni mediche dei dipendenti comprensive di diagnosi è consentita solo se espressamente prevista da specifiche disposizioni. Dalla documentazione trasmessa dal sindacato all'Autorità non è invece risultato che le disposizioni normative citate dal Dap fossero idonee per acquisire informazioni personali relative alla diagnosi. Il Dipartimento fondava erroneamente tale richiesta su alcune direttive contenute in una circolare, la quale faceva riferimento a determinati articoli del Codice privacy (attinenti non all'acquisizione della diagnosi sulle certificazioni mediche, bensì al consenso dell'interessato al trattamento dei dati personali) e a due leggi (che riguardavano genericamente la facoltà di disporre accertamenti sulle assenze dei dipendenti e il trattamento dei dati sensibili e giudiziari da parte del ministero).
 
Nel provvedimento, l'Autorità ha sottolineato anche che, ai fini del riconoscimento dei congedi di malattia, non risulta indispensabile trattare il dato personale relativo alla diagnosi. Contestualmente al divieto di trattamento dei dati, il Garante ha prescritto al Ministero della giustizia di impartire le disposizioni opportune al fine di conformare il trattamento dei dati alle vigenti disposizioni in materia di protezione dei dati personali, dando comunicazione delle determinazioni adottate.
 
Cartelle cliniche dei defunti accessibili ai familiari
I dati contenuti all'interno delle cartelle cliniche dei defunti e di eventuali verbali dell' autopsia devono essere accessibili ai familiari.
 
Lo ha stabilito il Garante accogliendo il ricorso di un uomo che, a seguito dell'improvvisa scomparsa della sorella, aveva più volte richiesto all'azienda ospedaliera presso la quale era deceduta, la comunicazione dei dati personali contenuti in una cartella clinica e nel verbale dell'autopsia. L'ospedale aveva inizialmente chiesto all'interessato, richiamando il Codice in materia di protezione dei dati personali, di chiarire le ragioni che giustificavano la visione della cartella clinica della sorella. L'uomo aveva risposto di ritenere la propria richiesta motivata, oltre che da questioni di affetto familiare, da esigenze di tutela della propria salute: la conoscenza di un'eventuale origine ereditaria o genetica del male che aveva colpito la sorella avrebbe potuto consentirgli eventuali rimedi preventivi. Anche davanti a tali motivazioni l'ospedale continuava, tuttavia, ad opporsi alle richieste dell'uomo.
 
Nella propria decisione del Garante ribadisce che il Codice tutela l'interesse dei familiari ad accedere alle documentazioni contenenti i dati personali di persone decedute. Il provvedimento chiarisce anche che la norma, sulla base della quale l'ospedale fondava il proprio diniego alle richieste dell'uomo, disciplina la richiesta di accesso ai dati personali di un defunto da parte di una persona diversa dall'interessato (o comunque non legittimata all'accesso in quanto familiare). Il Garante ha perciò ordinato all'azienda ospedaliera di fornire riscontro alle richieste dell'interessato entro un termine stabilito.
 

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Garanti privacy mondiali su Social network: raccomandazioni a utenti e fornitori di servizi – 20 ottobre 2008 [doc. web n. 1560474]
• Investigazioni difensive: varato  il codice di deontologia  per avvocati e investigatori  privati – 11 novembre 2008 [doc. web n. 1565222]

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.752 - Fax: 06.69677.755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it