Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Newsletter 4 - 10 febbraio 2002

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
44464
Data:
04/02/02
Tipologia:
Newsletter

Newsletter 4 - 10 febbraio 2002

 

  • Invalidi. Nessuna patologia sulla tessera elettorale
  • Mucca pazza. Il Garante vieta l'uso dei dati personali della ragazza
  • Videosorveglianza dei lavoratori. Rapporto della Cnil 

 

Invalidi. Nessuna patologia sulla tessera elettorale

Sulla futura tessera elettorale degli invalidi non deve essere annotata alcuna informazione relativa alle loro infermità. E questo per evitare il rischio che dati sullo stato di salute dell'elettore possano essere rivelati, anche accidentalmente, a terzi per motivi diversi da quelli strettamente legati allo svolgimento delle operazioni elettorali. Per essere ammessi all'esercizio del voto assistito basterà che la tessera riporti un codice o un simbolo, che potrà figurare anche sulla futura tessera elettorale.

Questa l'indicazione dell'Autorità che è stata recepita da un emendamento presentato dal Governo durante l'esame, in Commissione Affari Costituzionali del Senato, di un disegno di legge che si propone di agevolare l'esercizio del diritto di voto agli elettori gravemente infermi.

L'indicazione del Garante era contenuta in una risposta fornita al Ministero dell'interno che si era rivolto all'Autorità chiedendo un parere su alcuni emendamenti alla legge elettorale predisposti dalla stessa Commissione. Il Ministero aveva sollevato alcune perplessità sull'articolato predisposto dalla Commissione che prevedeva l'annotazione obbligatoria, sulla carta di identità, di ogni tipo di invalidità, anche di quelle evidenti, per consentire agli elettori con gravi infermità l'esercizio del voto assistito senza avere la necessità di esibire ogni volta la certificazione medica. L'Amministrazione riteneva, infatti, che l'annotazione dei dati relativi allo stato di salute nel documento d'identità solo per poter accedere all'esercizio del diritto di voto assistito, non fosse in linea con i principi essenziali di tutela della riservatezza.

L'Autorità ha condiviso questa interpretazione affermando che l'annotazione dai dati relativi alla salute nel documento di identità risulterebbe una misura ingiustificata rispetto ai principi generali in materia di tutela della privacy, che prevedono limiti di pertinenza e non eccedenza nel trattamento dei dati personali rispetto alle finalità perseguite (art. 9 comma 1, legge n. 675/96). L'Autorità ha, inoltre, pur ritenendola positiva, proposto di modificare la bozza predisposta dal Ministero che prevedeva l'annotazione sulla tessera elettorale, su richiesta dell'interessato, della dicitura "diritto al voto assistito". Ed ha suggerito quanto recepito dal Governo e poi approvato in questi giorni dalla Commissione, e cioè che la dicitura fosse sostituita con l'apposizione di un codice o di un simbolo che non permettesse l'immediata conoscenza dei dati sull'infermità.

Con l'occasione il Garante ha ricordato al Ministero dell'Interno di aver auspicato, già dall'aprile 2001, un riesame dell'intera questione riguardante la nuova tessera elettorale, specie per i problemi connessi alla scheda cartacea, non pienamente conforme ai principi della legge 675/96 per ciò che riguarda la tutela dei diritti della personalità dell'elettore.

 

Mucca pazza. Il Garante vieta l'uso dei dati personali della ragazza
(comunicato del 7.2.2002)

"Siamo di fronte ad una grave violazione della dignità della persona".

L'Autorità Garante per la protezione dei dati personali (composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi, Mauro Paissan) ha emesso un provvedimento con il quale si dispone il divieto di trattamento, da parte dei mezzi di informazione, dei dati personali della ragazza sospetta di aver contratto la variante umana della malattia di Creutzfeldt-Jacob.

La decisione è stata presa nella riunione odierna, viste le notizie diffuse nei giorni scorsi da molteplici mezzi di informazione che hanno reso possibile l'identificazione della ragazza. Giornali e mass-media hanno fornito una dovizia di particolari sulla ragazza, contraria al principio di essenzialità dell'informazione sancito dalla legge sulla privacy e dal codice deontologico dei giornalisti. E' il primo caso di divieto alla pubblicazione adottato dal Garante.

La pubblicazione di quella che è una notizia di indubbio interesse generale (la presenza della malattia nel nostro paese) non rendeva necessario - ha affermato il Garante - alcun riferimento alla specifica persona. Si è in tal modo concretata una grave violazione della dignità delle persona. La ricordata dovizia di particolari ha, peraltro, comportato la pubblicazione di notizie relative a congiunti dell'interessata e ad altre persone estranee ai fatti, con una palese violazione del codice deontologico dei giornalisti.

La diffusione di molte delle notizie, ha osservato l'Autorità Garante, ha verosimilmente la sua origine nella violazione di specifici obblighi di segretezza da parte di soggetti pubblici e di esercenti la professione medica. Il pregiudizio riferibile a diversi soggetti a causa della diffusione delle notizie potrà, ha spiegato l'Autorità, essere fatto valere davanti alla competente autorità giudiziaria.

Constatate dunque, le numerose violazioni delle norme sulla privacy e del codice deontologico per l'attività giornalistica e constatata l'illiceità del trattamento dei dati personali che rendono identificabili, in casi come quello in esame, la persona interessata, i suoi congiunti e altre persone non interessate ai fatti, l'Autorità ha vietato il trattamento dei dati da parte dei mezzi di informazione.

Il Garante ha inviato, per le valutazioni di loro competenza, il provvedimento agli editori, ai direttori responsabili dei quotidiani, ai Consigli dell'Ordine dei giornalisti, al Consiglio nazionale dell'Ordine dei medici, alla competenza autorità giudiziaria.

 

Videosorveglianza dei lavoratori. Rapporto della Cnil

L'autorità francese incaricata della protezione dei dati personali (CNIL, Commission Informatique et Libertés) ha pubblicato nei giorni scorsi un rapporto sulla sorveglianza elettronica dei lavoratori, in cui fa il punto della situazione (sia in Francia sia negli altri Paesi dell'UE) e indica alcune raccomandazioni pratiche ai soggetti in causa.

Il tema della sorveglianza sul luogo di lavoro è stato affrontato più volte dai garanti europei. Oltre alle iniziative nazionali, in particolare il progetto di codice di condotta messo a punto dall'Autorità inglese (http://www.dataprotection.gov.uk/..., voce "Codes of Practice") ed uno studio dell'autorità olandese su Internet e attività lavorative (http://www.registratiekamer.nl/..., per la sintesi in inglese), il Gruppo dei garanti europei ha approvato un parere (8/2001) sul trattamento dei dati nel rapporto di lavoro (http://www.europa.eu.int/..., per la sintesi in italiano) e, più in generale, una raccomandazione (2/2001) sulla raccolta dei dati online (http://www.europa.eu.int/...).

Il rapporto pubblicato dalla CNIL si basa, a sua volta, sui risultati di uno studio e di un dibattito pubblico conclusosi in Francia nel marzo 2001 in cui erano state esaminate alcune questioni fondamentali attinenti all'uso della telematica e dell'informatica nel rapporto di lavoro. Il rapporto della CNIL è un contributo importante, anche in vista della prossima emanazione da parte del Gruppo dei garanti europei di una raccomandazione concernente in modo specifico questo tema.

La CNIL parte dalla constatazione che i principi stabiliti dalla Legge francese sulla protezione dei dati (la "Loi informatique et libertés", che risale al 1978) sono stati recepiti nel codice del lavoro attraverso alcune disposizioni introdotte nel 1992 che sanciscono, in particolare:

a) il rispetto del principio di proporzionalità , in base al quale le limitazioni della libertà e dei diritti individuali devono essere proporzionate allo scopo perseguito;
b) l'obbligo di consultare le rappresentanze sindacali o gli organi paritetici di impresa prima di introdurre nuove tecnologie;
c) l'obbligo di informare preventivamente i lavoratori dell'esistenza di dispositivi per la raccolta di dati personali.

Tuttavia, lo sviluppo delle tecnologie informatiche nell'ultimo decennio, ed il ricorso crescente ad Internet e a strumenti telematici nello svolgimento di attività lavorative, hanno fatto sì che il tema della sorveglianza non riguardi più soltanto la presenza o localizzazione fisica del lavoratore. Si tratti dell'uso della posta elettronica per comunicare con colleghi o altre imprese, oppure della condivisione di file o cartelle di lavoro, oppure delle misure di sicurezza che l'impresa o il datore di lavoro devono adottare per garantire il segreto industriale o la tutela di informazioni sensibili, la questione della sorveglianza ha assunto chiaramente dimensioni molto più ampie.

In questo contesto, la CNIL sottolinea che, da un lato, le risposte elaborate dal mondo imprenditoriale per fare fronte ai rischi possibili non sempre sono rispettose delle norme. Ad esempio, il ricorso sempre più frequente a "schede informative" distribuite ai dipendenti per chiarire diritti e doveri in tema di trattamento dei dati si risolve talora in un cumulo di divieti che in realtà sono inesistenti in termini di legge (ad esempio, il divieto assoluto di utilizzare la posta elettronica o Internet, o altre prescrizioni emanate senza consultare gli organismi paritetici sopra menzionati); in altri casi le imprese fanno firmare ai dipendenti, al momento dell'assunzione, impegnative scritte con le quali essi rinunciano in pratica ad ogni diritto di controllare la gestione dei propri dati - secondo un modello di matrice americana. D'altro canto, le risposte elaborate dalla giurisprudenza sulla base di ricorsi e contestazioni mosse da singoli lavoratori indicano un approccio nettamente distinto: una sentenza recente della Corte di Cassazione francese (2 ottobre 2001) ha ricordato in particolare che "il dipendente, anche durante l'orario di lavoro e sul luogo di lavoro, ha il diritto al rispetto della sua vita privata... il che implica, in particolare, la segretezza della corrispondenza. Il datore di lavoro non può dunque... accedere a messaggi personali inviati dal dipendente o da questi ricevuti attraverso strumenti informatici messi a disposizione del dipendente per svolgere l'attività lavorativa, anche qualora il datore di lavoro abbia preventivamente vietato l'utilizzazione del computer per fini non professionali".

Naturalmente, come sottolinea la CNIL, ciò non significa che sia vietata ogni forma di sorveglianza o l'utilizzazione di strumenti di sorveglianza. Il problema è che il trattamento per fini non "tecnici" dei dati raccolti attraverso strumenti di sorveglianza deve essere proporzionato alle finalità perseguite.

Nell'intento di fornire indicazioni pratiche, il rapporto passa quindi a sfatare due luoghi comuni molto frequenti in questo contesto, ossia: a) che il pc messo a disposizione del dipendente sia tutelato dalle norme sulla riservatezza, in quanto "privato", mentre invece resta, ovviamente, proprietà dell'impresa o dell'amministrazione, e l'uso di password e login serve a prevenire accessi non autorizzati più che a farne un oggetto "personale" del dipendente; b) che sia sufficiente, per l'impresa, informare preventivamente i dipendenti dell'uso di strumenti di sorveglianza. In realtà, l'informazione è necessaria, ma non sufficiente: il codice del lavoro (come del resto in Italia) e la giurisprudenza sanciscono l'obbligo per l'impresa di rispettare anche altre condizioni.

Quali indicazioni pratiche scaturiscono allora dal rapporto?

a) Il divieto assoluto di utilizzare Internet per fini non professionali è irrealistico nella società dell'informazione in cui ormai viviamo. L'uso deve essere ragionevole, tale da non mettere a rischio la sicurezza dell'impresa o dell'amministrazione né da compromettere la produttività. Imprese e amministrazioni possono, naturalmente, installare dispositivi atti, ad esempio, a filtrare l'accesso a siti non autorizzati (pornografici, ad esempio) oppure prevedere, per esigenze di sicurezza, il divieto di scaricare programmi informatici, di collegarsi a forum di discussione o chat. Se l'impresa o l'amministrazione registra i dati di connessione (durata e siti visitati), occorre prevedere (oltre alla notificazione del trattamento all'autorità garante) una durata di conservazione dei dati che la CNIL ritiene ragionevole fissare in sei mesi;

b) il divieto assoluto di utilizzare la posta elettronica, anche in base alla sentenza sopra citata, non è egualmente ammissibile. Il criterio della ragionevolezza e dell'uso socialmente accettabile appare offrire utili indicazioni. Anche in questo caso, l'eventuale utilizzo da parte dell'impresa o dell'amministrazione di dispositivi di controllo individuale comporta la necessità di notificare il trattamento e di conservare i dati per un periodo non eccessivo - oltre all'esigenza di consultare i rappresentanti del personale e gli organi paritetici sopra menzionati;

c) gli archivi delle connessioni (i cosiddetti file di log), che registrano tutte le connessioni o i tentativi di connessione ad un sistema informatico, hanno finalità eminentemente di sicurezza e non di controllo del lavoratore. Il lavoratore deve comunque essere informato dell'esistenza di questo tipo di archivi e della durata di conservazione dei dati, conservazione che la CNIL ritiene ragionevole fissare, ancora una volta, in sei mesi.

d) se le dimensioni dell'impresa o dell'amministrazione lo consentono, anche in base alla struttura organizzativa, è opportuno nominare, in cooperazione con le rappresentanze del personale, una figura che la CNIL chiama il "Delegato alla protezione dei dati ed all'utilizzo delle nuove tecnologie nell'impresa". Sarà la persona incaricata di seguire la gestione dei dati personali in termini di sicurezza, diritto di accesso e tutela, e il punto di riferimento nell'azienda o nell'amministrazione per tutto ciò che riguarda la protezione della vita privata del lavoratore.

Il rapporto della CNIL offre numerosi spunti di riflessione, anche alla luce della normativa italiana in materia di lavoro (legge 300/1970) e delle norme che regolano la sicurezza dei dati personali (d.P.R. 318/1999). Daremo conto su questa Newsletter degli sviluppi in materia nelle prossime settimane, in particolare per quanto riguarda la posizione assunta dalle autorità garanti europee.

Il rapporto della CNIL è disponibile all'indirizzo: http://www.cnil.fr/...