g-docweb-display Portlet

Newsletter 7 marzo 2006

Stampa Stampa Stampa

 

N. 272 del 7 marzo  2006

• Diagnosi e analisi cliniche on line: il Garante blocca un sito internet
• Altri organismi pubblici in regola per i dati sensibili
• Filtri antispam: le linee guida dei Garanti europei

 

Diagnosi e analisi cliniche on line: il Garante blocca un sito Internet

Il Garante per la privacy ha disposto il blocco di una sezione di un sito Internet, gestito presso un´associazione culturale informatica triestina, nella quale erano consultabili i dati anagrafici di centinaia di persone con l´indicazione di diagnosi e risultati di analisi cliniche. I dati erano contenuti all´interno di un foglio elettronico presente in un´area consultabile da chiunque tramite un determinato indirizzo web. Ad accorgersi della grave violazione della privacy e dell´illecita diffusione di dati sulla salute  è stata la figlia di una delle persone interessate che, effettuando una ricerca mediante  un motore di ricerca,  aveva  scoperto per caso che, insieme a molti altri nominativi, erano visibili anche il nome e il cognome del padre con l´indicazione di importanti dati sul suo stato di salute. La donna ha segnalato la circostanza al Garante il quale ha disposto tempestivamente il blocco del trattamento dei dati. Il Codice sulla privacy vieta infatti la diffusione, in qualunque forma, dei dati sulla salute. Il provvedimento di blocco si è reso necessario considerato l´elevato numero di soggetti interessati dall´illecita diffusione dei dati idonei a rivelare il loro stato di salute e il concreto rischio di un grave pregiudizio nei loro confronti.

Il sito ha dovuto rimuovere immediatamente le pagine "incriminate" dopo la notifica del provvedimento tramite la Guardia di finanza.

Oltre al blocco, il Garante ha disposto ulteriori accertamenti, anche presso eventuali enti dai quali potrebbero provenire i dati, per verificare anzitutto l´effettivo titolare del trattamento e, poi,  il rispetto delle misure di sicurezza, della correttezza nelle modalità di raccolta e diffusione dei dati, e di tutti gli obblighi e i principi posti a base della normativa sulla protezione dei dati personali.

 

Altri organismi pubblici in regola per i dati sensibili

Il Garante ha espresso parere favorevole sugli schemi di regolamento per i trattamenti di dati sensibili e giudiziari di diversi organismi pubblici, tra i quali il Consiglio nazionale delle ricerche (Cnr), l´Istituto postelegrafonici(Ipost), l´Agenzia nazionale per la sicurezza del volo (Ansv), l´ Istituto nazionale di economia agraria(Inea), l´Istituto nazionale di alta matematica "Francesco Severi". Come previsto dal Codice sulla privacy, con l´adozione di un proprio regolamento, conforme al parere dell´Autorità, questi organismi potranno  lecitamente raccogliere, elaborare e utilizzare per le loro finalità istituzionali i dati relativi alla salute, all´etnia, alle opinioni politiche, ai carichi pendenti. I regolamenti, che individuano e rendono noto ai cittadini quali dati vengono usati e per quali fini, contengono l´indice dei trattamenti e una serie di schede articolate nelle quali sono evidenziate le finalità di rilevante interesse pubblico per trattare i dati sensibili e giudiziari, la denominazione del trattamento, la fonte normativa, i tipi di dati trattati e le operazioni eseguibili. Nell´approvare gli schemi di regolamento, il Garante ha richiesto in alcuni casi di apportare alcune modifiche ed integrazioni relative, in particolare, alla verifica dell´indispensabilità del trattamento dei dati, alla specificazione dei destinatari delle comunicazioni dei dati e delle finalità dell´utilizzo dei dati o all´eliminazione del riferimento a trattamenti già disciplinati dalle autorizzazioni generali.


Filtri antispam: linee-guida dei Garanti europei

Il provider può effettuare la scansione automatizzata della posta elettronica alla ricerca di virus o spam senza il consenso dell´utente o dell´abbonato, ma ha l´obbligo di richiederlo se lo scopo dello screening è quello di individuare contenuti potenzialmente illegali, (ad esempio file a carattere pornografico o a contenuto razzista).

Queste, in sintesi, le indicazioni che le Autorità europee per la protezione dei dati personali hanno fornito in un documento (Parere 2/2006, disponibile in lingua inglese all´indirizzo: http://www.europa.eu.int/...pdf) approvato recentemente a Bruxelles nell´ambito del Gruppo di lavoro che le riunisce.

Obiettivo del documento è fornire alcune prime indicazioni agli operatori del settore su tutta una serie di attività che mirano a ridurre prassi dannose e intromissioni nella comunicazione elettronica, ma che possono tuttavia configurarsi esse stesse come un´interferenza nella libertà di comunicazione per le caratteristiche che vengono ad assumere. Le Autorità per la protezione dei dati invitano provider e i produttori di software ad incorporare i principi di tutela della privacy nei programmi utilizzati per la gestione della posta elettronica, riducendo al minimo il trattamento di dati personali. Vediamo in maggiore dettaglio le indicazioni dei Garanti Ue.

La scansione effettuata al fine di individuare virus è lecita perché si tratta di una finalità che rientra negli obblighi di sicurezza imposti dalla direttiva 2002/58 e dalle norme nazionali e non richiede il consenso dell´utente. Tuttavia, ciò non esime il provider dall´obbligo di informare adeguatamente l´utente sulla natura dell´attività svolta (ad esempio, nell´ambito delle condizioni contrattuali previste per il servizio), di non rivelare a chiunque il contenuto della comunicazione e, qualora la scansione anti-virus sia effettuata sotto forma di scansione del contenuto dei messaggi, di limitare l´analisi esclusivamente alla ricerca di possibili virus.

Anche lo screening effettuato per individuare spam è, a giudizio dei Garanti Ue, attività assimilabile all´attivazione di misure di sicurezza, poiché lo spam compromette la funzionalità dei servizi di posta elettronica. Tuttavia, in considerazione del rischio di generare "falsi positivi" - ossia di filtrare come spam messaggi che in effetti non lo sono - e dunque di limitare in qualche misura la libertà di comunicazione, i provider dovrebbero consentire agli utenti di disapplicare i filtri anti-spam e di stabilire quali tipi di spam debbano essere filtrati. In particolare, il Gruppo di lavoro invita i provider e i produttori di software e programmi di posta elettronica a mettere a punto strumenti che diano all´utente la possibilità di configurare autonomamente i meccanismi di filtraggio anti-spam.

La scansione a scopo di ricerca di specifici contenuti potenzialmente illeciti deve essere, invece, configurata come una vera e propria intercettazione delle comunicazioni. Essa può essere effettuata solo dalla autorità giudiziaria e dalle forze di polizia; se effettuata dai provider, è invece necessario che via sia stata una espressa manifestazione di volontà dell´utente interessato al controllo. Questo tipo di screening, dunque, non può rientrare negli obblighi standard dei provider e deve essere offerto, eventualmente, quale servizio a valore aggiunto.


 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.1 - Fax: 06.69677.785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it