Diritti interna

Doveri interna

ricerca avanzata

Newsletter dell'8 novembre 2012

NEWSLETTER N. 365 dell´8 novembre 2012

Marketing "selvaggio": bloccato il data base di una società
Maggiore riservatezza sulle valutazioni dei dipendenti
Casellario giudiziale: sì all´accesso diretto per la Pa
Comuni: Piano di protezione civile e invalidi

 


Marketing "selvaggio": bloccato il data base di una società

 

Il Garante della privacy ha vietato il trattamento illecito dei dati di circa un milione di persone contenuti nel data base di una società che opera nel settore delle vendite per corrispondenza e del marketing diretto. La decisione è stata adottata in seguito agli esiti dell´attività ispettiva avviata dall´Autorità su segnalazione di numerose persone che lamentavano di essere state disturbate con offerte commerciali indesiderate.

Nel corso dell´istruttoria, la società si era difesa sostenendo che i dati utilizzati provenivano in parte da un´azienda fallita, di cui era stato lecitamente acquistato anche il database clienti, e in parte da una propria attività di raccolta diretta effettuata con appositi moduli e coupon sottoscritti dalle stesse persone interessate. La società affermava, tra l´altro, che alcune telefonate promozionali contestate erano state effettuate per un semplice errore.

Dai riscontri del Garante è però emerso innanzitutto che la società aveva omesso di fornire la necessaria informativa ai clienti dell´azienda fallita, non comunicando tra l´altro di essere il nuovo titolare del trattamento dei dati personali.

L´Autorità ha rilevato violazioni anche nella raccolta dei dati tramite i moduli pubblicati dalla società su riviste o sul proprio sito web. La società non solo non aveva fornito un´adeguata informativa a chi compilava la richiesta per sé o per un amico, ma aveva vincolato la spedizione di cataloghi o prodotti alla sottoscrizione del consenso per l´invio di offerte promozionali o per la comunicazione dei propri dati personali ad altri soggetti. Tale consenso, al contrario da quanto previsto dal Codice della privacy, non poteva quindi considerarsi "informato", né specifico per le differenti attività e neppure liberamente espresso.

Il Garante ha quindi vietato il trattamento dei dati personali raccolti dalla società per qualunque utilizzo che non sia direttamente strumentale all´esecuzione di un obbligo contrattuale, come l´acquisto di un prodotto o servizio. Ha imposto alla società di regolarizzare la sua posizione in tema di informativa e consenso. Ha infine aperto un autonomo procedimento sanzionatorio finalizzato alla contestazione delle violazioni amministrative commesse.

 



Maggiore riservatezza sulle valutazioni dei dipendenti
Vanno comunicate agli interessati per via telematica o in busta chiusa 

 

Il Garante della privacy ha prescritto a un´azienda ospedaliera di adottare ogni misura idonea a garantire la piena riservatezza dei dati personali contenuti nei documenti di valutazione dei dipendenti. La decisione accoglie, in parte, il ricorso di un dirigente che si lamentava per aver ricevuto la propria scheda, in busta aperta, da personale amministrativo addetto a un´altra struttura dell´azienda. Il medico contestava all´amministrazione anche la mancata risposta alla richiesta di informazioni relative al trattamento dei propri dati personali.

Nel corso dell´istruttoria, l´azienda ha provveduto a dare sufficiente riscontro alle domande del dipendente e ha anche fornito elementi utili a evidenziare l´assenza di trattamenti illeciti. Dalle verifiche effettuate sono però emerse dichiarazioni contrastanti sulle modalità di effettiva circolazione dei documenti valutativi all´interno dell´azienda ospedaliera, tali da non far ritenere sufficientemente dimostrata la piena idoneità delle misure adottate a tutela della privacy.

Il Garante ha così imposto al complesso sanitario di garantire maggiori tutele affinché il contenuto delle schede individuali di valutazione non possa essere letto dal personale incaricato della consegna o da altre persone non autorizzate: ad esempio adottando modalità telematiche che consentano l´accesso al documento solo al dipendente interessato (certificandone anche l´avvenuta ricezione), oppure provvedendo a consegnare la valutazione opportunamente spillata o in busta chiusa.



Casellario giudiziale: sì all´accesso diretto per la Pa

Introdotto il "certificato selettivo"

 

Ok del Garante privacy allo schema di decreto dirigenziale del Ministero della giustizia che disciplina le modalità operative di consultazione diretta in via telematica del Casellario giudiziale da parte delle Pubbliche amministrazioni e dei gestori di pubblici servizi.

Le P.a. e gli Enti che hanno in gestione servizi pubblici  (ad esempio Poste S.p.a., Enel S.p.A., Italgas, Trenitalia) potranno consultare direttamente il casellario giudiziale, per acquisire informazioni sui precedenti penali e sui carichi pendenti, al fine di effettuare i controlli d´ufficio previsti dalla legge o di verificare le dichiarazioni sostitutive presentate da imprenditori e cittadini interessati, ad esempio, a partecipare a gare d´appalto e forniture o ad altri provvedimenti (ad esempio il rilascio della patente di guida).

In conformità alle indicazioni del Garante, saranno consentiti accessi selettivi ai soli dati giudiziari indispensabili agli accertamenti di competenza. A questo scopo è stato introdotto, principale novità del decreto,  il cosiddetto "certificato selettivo", che conterrà solo dati pertinenti e coerenti rispetto ai compiti propri delle amministrazioni e degli enti  richiedenti.

Su indicazione del Garante sono state previste convenzioni tra il Ministero della giustizia e i soggetti interessati (stipulate secondo schemi-tipo sottoposti al parere del Garante) che stabiliranno le condizioni e le regole tecniche per il rilascio dei "certificati selettivi".

L´Autorità ha chiesto inoltre di introdurre adeguate misure di sicurezza, soprattutto sul controllo degli accessi. La consultazione diretta del Sic (Sistema Informativo del Casellario) avverrà infatti mediante il Cerpa (Centro europeo ricerca e promozione dell´accessibilità), il sistema per la certificazione massiva gestito dall´ufficio centrale del casellario. Il Sic potrà essere consultato tramite tecnologia web service o tramite Pec, il servizio di posta elettronica certificata. L´Ufficio del casellario centrale garantirà la piena tracciabilità dei collegamenti telematici tra il Cerpa e i vari sistemi coinvolti. Verrà istituito il "Registro degli accessi al Sic", che consentirà all´amministrazione interessata di eseguire controlli informatizzati trimestrali, anche a campione, sulla rispondenza delle richieste dei certificati ai rispettivi procedimenti amministrativi. Le registrazioni e i log del sistema dovranno essere conservati per dieci anni.



Comuni: Piano di protezione civile e invalidi

L´elenco con i dati sanitari va chiesto alle Asl

 

Per aggiornare la scheda del Piano di protezione civile relativa agli invalidi i Comuni devono chiedere l´elenco dei nominativi alle Asl. Lo ha precisato il Garante privacy in risposta ad un quesito dell´Inps al quale si era rivolta un´amministrazione comunale per avere l´elenco, completo di indirizzo anagrafico, delle persone invalide.

La normativa demanda infatti alle Asl il compito di comunicare, se necessario, i dati sanitari delle persone invalide alle strutture che svolgono compiti di protezione civile (Regioni, agenzie regionali, Comuni).  L´Inps invece - ha spiegato il Garante - non può inviare ai Comuni l´elenco degli invalidi perché nessuna norma lo autorizza a comunicare all´ente locale dati sulla salute delle persone che fruiscono delle prestazioni d´invalidità. Come tutti gli altri soggetti pubblici l´Inps può trattare dati sensibili,  e tra questi anche quelli idonei a rivelare lo stato di salute, solo in base ad una espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. Se la norma si limita a specificare solo la finalità di rilevante interesse pubblico, dati, operazioni e  finalità perseguite nei singoli casi devono essere individuati in un atto regolamentare, conforme al parere reso dal Garante.

Nel caso in esame invece nessuna norma di legge o di regolamento consente all´Inps di comunicare i nominativi degli invalidi al Comune.


  

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it