Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter 14 - 20 ottobre 2002

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
42345
Data:
14/10/02

Newsletter 14 - 20 ottobre 2002
  
  

  • Ingiunzione di pagamento per una Asl
  • Le linee guida del Consiglio d'Europa sulla videosorveglianza
  • Privacy e assicurazioni: le regole del Consiglio d’Europa

 

Ingiunzione di pagamento per una Asl

Confermata la sanzione amministrativa pari a 1.032 euro contestata a suo tempo dall’Autorità garante ad un’azienda sanitaria locale.

I fatti iniziano due anni fa quando la Asl convocava "a visita medico-legale per l’accertamento dello stato invalidante e dell’handicap" un ragazzo minorenne, utilizzando un foglio piegato, privo di busta - il cui contenuto poteva dunque facilmente essere letto da chiunque - che riportava non solo le generalità dell’interessato, ma anche l’oggetto della convocazione, informazioni personali, cioè, attinenti al suo stato di salute e soggetti ad una speciale tutela in quanto dati sensibili.

I genitori si appellavano al Garante, segnalando la circostanza e accusando la struttura sanitaria di aver violato la riservatezza dei dati personali del minore. La  Asl, sollecitata più volte dall’Autorità a fornire chiarimenti sull’accaduto, non dava tuttavia alcuna risposta.

In ragione di tale comportamento, l’Autorità adottava nell’aprile scorso il provvedimento con il quale contestava alla Asl la violazione delle disposizioni della legge 675/96 riguardanti la mancata risposta alla richiesta di informazioni o esibizioni di documenti (art. 39, comma 1) e applicava una sanzione pecuniaria di 1.032 euro.

Da allora, però, ancora silenzio. La Asl, infatti, non pagava la multa né faceva pervenire documenti atti a giustificare il suo comportamento.

Di qui la decisione del Garante di una ordinanza ingiunzione nei confronti della azienda sanitaria per il pagamento della sanzione, ordinanza che è opponibile dalla Asl entro trenta giorni davanti al giudice di pace.

 

Le linee guida del Consiglio d'Europa sulla videosorveglianza

Il Comitato di esperti sulla privacy del Consiglio d’Europa ha approvato lo scorso 9 ottobre, all’esito di un lungo processo di analisi, un ampio e complesso documento sul rapporto tra protezione dei dati e videosorveglianza. Il testo - predisposto, in qualità di esperto del Consiglio, dal segretario generale del Garante italiano, Giovanni Buttarelli - fissa le linee guida per operatori pubblici e privati, richiamando l’attenzione sui principi che devono essere rispettati nell’impiego di dispositivi di controllo video.

Il documento si basa sui risultati di uno studio che era stato commissionato nel 2000 dallo stesso Consiglio d’Europa a Buttarelli (disponibile in lingua inglese al seguente indirizzo: http://www.coe.int/...).

Già in quello studio si sottolineava come gli strumenti elaborati dal Consiglio in materia di protezione dati (oltre alla Convenzione n. 108/1981, le Raccomandazioni riferite a vari campi di attività ed altri documenti) non contengano indicazioni specificamente attinenti alla tematica della videosorveglianza.

Le linee guida approvate oggi intendono, dunque, fornire un primo ausilio pratico in questo senso, sulla scorta delle considerazioni e delle conclusioni alle quali perviene lo studio prima citato.

In particolare, viene ricordata a tutti gli operatori una serie di adempimenti. Occorre, innanzitutto, verificare se il ricorso all’installazione delle telecamere sia consentito dalla legge, in quale misura e per quali scopi; così come occorre garantire il rispetto dei principi di protezione dati, in particolare di quelli stabiliti nella Convenzione del Consiglio d’Europa in materia (108/1981).

Inoltre, il ricorso alle telecamere deve rappresentare l’ultima ratio, ossia deve avvenire solo se sistemi meno invasivi non risultano utilizzabili. L’attività di controllo svolta attraverso sistemi video non deve comprimere le libertà e i comportamenti degli interessati, soprattutto per quanto riguarda la libertà di circolazione e il diritto all’autodeterminazione informativa (è necessario ricordare, infatti, che esiste una ragionevole aspettativa di privacy anche nei luoghi pubblici). Le immagini raccolte devono, poi, essere effettivamente necessarie per gli scopi perseguiti, e non devono essere conservati a lungo se ciò non è richiesto in modo specifico.

I cittadini e i consumatori devono essere informati dell’esistenza di telecamere: si può venire meno a tale obbligo, in misura ragionevole e proporzionata, soltanto se si perseguono scopi di sicurezza pubblica o di lotta alla criminalità, oppure se serve a tutelare i diritti e le libertà di terzi o dello stesso interessato. Devono comunque essere messe in atto misure tali da garantire agli interessati l’esercizio del diritto di accesso ai dati che li riguardano.

Le cautele da adottare, da parte di chi installa telecamere, devono essere particolarmente efficaci se a tali sistemi si associano altre attività o altri dispositivi (raccolta di dati biometrici, sistemi per il riconoscimento automatico dei tratti somatici, indicizzazione dei dati raccolti, profilazione dei soggetti ripresi, ecc.).

Il documento sottolinea, infine, che il ricorso alla videosorveglianza non deve essere finalizzato al controllo delle prestazioni dei lavoratori. Nel caso che tali forme di controllo risultino necessarie per motivi organizzativi e/o per le caratteristiche dell’attività produttiva, occorre l’assenso delle organizzazioni sindacali. E’ fondamentale garantire il rispetto della dignità dei lavoratori.

Il documento si affianca al "decalogo" sulla videosorveglianza approvato lo scorso 2 ottobre dai Garanti europei.

 

Privacy e assicurazioni: le regole del Consiglio d’Europa

Il Consiglio d’Europa ha approvato lo scorso 18 settembre una Raccomandazione (Rec (2002)9) sulla protezione dei dati personali raccolti e trattati per scopi assicurativi. E’ un documento al quale gli esperti del Consiglio hanno lavorato per quasi 12 anni, a partire dal novembre 1990, e rappresenta un importante contributo in un settore di grande complessità che tocca direttamente gli interessi della quasi totalità dei cittadini. La Raccomandazione, che non è vincolante, si fonda sui principi fissati dalla Convenzione n. 108/1981 del Consiglio d’Europa, relativa alla protezione delle persone fisiche rispetto al trattamento di dati personali, ma tiene conto anche degli sviluppi nel frattempo intercorsi ed, in particolare, dei principi sanciti dalla direttiva europea in materia di protezione dei dati personali (95/46/CE ). La Raccomandazione non riguarda i trattamenti effettuati per scopi di previdenza sociale, oggetto di una specifica raccomandazione che il Consiglio d’Europa aveva elaborato nel 1986 (Raccomandazione R(86) 1); tuttavia, lascia gli Stati membri liberi di decidere se estendere l’applicazione dei principi di questa più recente raccomandazione anche a tali trattamenti.

Non è possibile sintetizzare le disposizioni della Raccomandazione in questo contesto; ci limiteremo pertanto ad evidenziare alcuni punti-chiave, rimandando alla lettura del testo integrale (http://cm.coe.int/...) e del rapporto illustrativo http://cm.coe.int/...) che saranno presto disponibili in italiano sul nostro sito web.

La Raccomandazione definisce "titolare" del trattamento chiunque (persona fisica o giuridica, autorità pubblica, agenzia o altro ente) determini le finalità e gli strumenti utilizzati per la raccolta e il trattamento di dati personali. Questa definizione si applica, come chiarito dal Rapporto esplicativo, anche ai broker, agli agenti indipendenti e agli istituti finanziari nella misura in cui essi raccolgano e trattino dati personali anche in previsione della conclusione di un contratto assicurativo.

La Raccomandazione stabilisce che, in linea di principio, i dati personali devono essere raccolti direttamente presso l’interessato o un suo rappresentante.

Vengono specificati in modo esplicito gli "scopi assicurativi" dei quali tratta la Raccomandazione (al punto 4.4.), fra i quali rientrano anche attività di indagine di mercato e di marketing diretto. Uno dei principi fondamentali della Convenzione 108/1981 (e della direttiva 95/46) è però quello dell’utilizzazione dei dati per scopi compatibili. Pertanto, si ribadisce che i dati raccolti per una di tali finalità non possono essere trattati per scopi incompatibili: ad esempio, dati relativi allo stato di salute raccolti per gli scopi di una polizza sanitaria non devono essere utilizzati per le esigenze di un altro tipo di polizza - ad esempio, una polizza sulla vita - a meno che il diritto interno stabilisca la compatibilità di tali trattamenti.

Il trattamento di dati sensibili (4.6), altrimenti vietato secondo un principio ripreso anche nella direttiva europea di protezione dati, è legittimato, fra l’altro, se una norma di legge lo consente e risulta necessario per l’adempimento di obblighi giuridici o contrattuali del titolare. Come sottolineato nel Rapporto esplicativo, si tratta di una condizione di legittimazione non contemplata nella direttiva europea 95/46 - e neppure nella legge italiana di protezione dati.

Per quanto riguarda, in particolare, la raccolta e il trattamento di dati relativi allo stato di salute per scopi assicurativi, si ribadisce che essi devono essere effettuati soltanto da professionisti del settore sanitario oppure secondo principi di segretezza paragonabili a quelli cui soggiacciono gli operatori del settore sanitario. Non si danno indicazioni rispetto al trattamento dei dati genetici, oggetto della Raccomandazione 97(5) sul trattamento dei dati sanitari e di altre specifiche Raccomandazioni del Consiglio (in particolare, R(92)3), nonché della Convenzione di Oviedo del 1997 sulla biomedicina. Su questo punto si sottolinea l’esistenza di numerose divergenze nella legislazione degli Stati membri del Consiglio d’Europa, per cui gli esperti hanno preferito attendere i risultati dell’analisi condotta dal gruppo che si sta occupando specificamente della redazione di un protocollo aggiuntivo alla Convenzione di Oviedo in materia di genetica.

Rispetto al trattamento di dati personali per scopi di marketing diretto nel settore assicurativo, la Raccomandazione stabilisce il principio che il titolare può effettuarlo per commercializzare e promuovere i propri servizi salvo obiezione dell’interessato. Vale dunque il principio dell’opt-out, il che si applica anche alla comunicazione fra soggetti appartenenti o meno ad uno stesso gruppo o ad una stessa società (8.1.c)). Tuttavia, va sottolineato che su questo punto la Raccomandazione del Consiglio R(85) 20, relativa ai trattamenti per scopi di marketing diretto, stabilisce che qualora dati personali siano comunicati a terzi, ad esempio attraverso indirizzari o altri elenchi, "gli elenchi non devono fornire informazioni suscettibili di violare la privacy dell’interessato, a meno che quest’ultimo vi abbia acconsentito". Giova ricordare che i principi di quest’ultima raccomandazione sono espressamente richiamati anche nel decreto n. 467/2001 che ha previsto l’adozione di un codice deontologico per i trattamenti effettuati a fini di marketing diretto, al quale il Garante sta lavorando insieme alle organizzazioni di settore.

Fra le misure di sicurezza che i titolari sono tenuti a adottare, vengono indicate in modo dettagliato quelle finalizzate ad evitare, in particolare, la commistione fra dati identificativi degli interessati, dati amministrativi e dati sensibili; in sostanza, deve essere possibile accedere in modo separato a tali categorie di dati.

Rispetto alla conservazione dei dati trattati per scopi assicurativi, la Raccomandazione indica l’opportunità di non conservarli oltre il periodo necessario per gli scopi della loro raccolta (in linea con l’articolo 5(e) della Convenzione 108/1981, e con la direttiva europea 95/46), tenendo conto della necessità di far fronte ad obblighi legali (ad esempio, per dimostrare la buona fede della compagnia) o di fornire la prova di transazioni effettuate, ovvero per giustificare, ad esempio, la mancata sottoscrizione di una polizza assicurativa. Tuttavia, deve essere possibile disporre dei dati per scopi di ricerca scientifica o di statistica, per cui si deve prevederne la conservazione secondo opportuni accorgimenti (separazione da altri record, ecc.).