g-docweb-display Portlet

Newsletter del 23 gennaio 2013

Stampa Stampa Stampa

 
 


Non si possono "schedare" i partecipanti a una manifestazione sindacale

 

Il Garante per la privacy  ha vietato [doc. web n. 2192643] ad una Casa Circondariale il trattamento dei dati personali dei partecipanti a una manifestazione sindacale autorizzata che si è svolta, senza incidenti, all´esterno della struttura carceraria e al di fuori dall´orario di servizio.

Dagli accertamenti avviati dall´Autorità, su segnalazione di un segretario sindacale regionale, è emerso infatti che la Casa Circondariale, temendo la diffusione di informazioni su una circolare oggetto della protesta e quindi una violazione del segreto d´ufficio sanzionabile a livello disciplinare, ha raccolto i nominativi dei partecipanti, dati idonei a rivelarne l´appartenenza sindacale. La Casa Circondariale è così incorsa  in un  trattamento illecito perché, non essendo state riscontrate le violazioni temute, non è mai stato avviato alcun procedimento disciplinare, né nei confronti del segretario del sindacato che ha indetto la manifestazione, né nei confronti dei partecipanti.

Ulteriore profilo di illiceità ravvisato dal Garante consiste nei prolungati ed immotivati tempi di conservazione, eccedenti rispetto alla finalità di un loro impiego nell´ambito di un  procedimento disciplinare, peraltro – come ricordato -  mai avviato.

A seguito del divieto la Casa circondariale non potrà più trattare i dati dei partecipanti alla manifestazione, salva la loro conservazione esclusivamente per eventuali esigenze di tutela dei diritti in sede giudiziaria. La Casa circondariale dovrà, inoltre, informare della loro inutilizzabilità le amministrazioni alle quali li aveva comunicati (Ministero della Giustizia, Prefettura, Tribunale di sorveglianza, Provveditorato regionale). L´Autorità si è riservata, infine, con un autonomo procedimento la valutazione dei presupposti per l´eventuale contestazione di una sanzione amministrativa.

 

 



Tutele rafforzate per le informazioni sulle adozioni
Le attestazioni di stato civile non devono riportare indicazioni sulla maternità e la paternità del minore adottato

 

Qualunque attestazione di stato civile  riferita ad una persona adottata deve essere rilasciata con la sola indicazione del nuovo cognome e senza l´annotazione della sentenza di adozione. Le notizie sullo stato di adozione di una persona possono essere fornite da un ufficiale pubblico solo su espressa autorizzazione dell´autorità giudiziaria.

Lo ha chiarito il Garante intervenendo su un caso  [doc. web n. 2187244 ] sottoposto da un uomo che contestava al Comune di aver rilasciato ai parenti dell´interessato la copia integrale del suo atto di nascita con incluse le informazioni sul provvedimento giudiziario riguardante la sua adozione. I funzionari comunali ritenevano che la consegna del documento recante le informazioni sull´adozione fosse giustificata dalla necessità degli eventuali eredi di poter difendere i propri diritti in sede giudiziaria.

L´Autorità, interpellata dal Difensore Civico a cui  aveva chiesto aiuto l´interessato, ha però spiegato che la normativa vigente prevede una particolare protezione dei dati sulle adozioni: qualunque attestazione di stato civile riferita all´adottato può essere rilasciata solo con l´indicazione del nuovo cognome e con l´esclusione di qualsiasi riferimento alla paternità e alla maternità del minore. La legge prevede, infatti, che le indicazioni sul rapporto di adozione possano essere fornite solo su espressa autorizzazione dell´autorità giudiziaria. L´ufficiale di stato civile del Comune avrebbe quindi commesso una illecita comunicazione di dati personali a soggetti diversi dal diretto interessato.

Il Garante ha quindi vietato ai parenti dell´uomo l´ulteriore utilizzo delle informazioni sull´adozione contenute nella copia dell´atto di nascita. Ha poi prescritto al Comune di fornire al proprio personale di stato civile adeguate istruzioni per evitare che si commettano ulteriori violazioni sui dati relativi alle persone adottate. Il provvedimento è stato inoltre trasmesso all´autorità giudiziaria che potrà valutare gli eventuali illeciti penali commessi.

 

 



No a dati sulla salute sul web
Il divieto del Garante è scattato per due amministrazioni pubbliche

 

Non si possono mettere on line informazioni sullo stato di salute, patologie o handicap di una persona. Il Garante privacy è intervenuto su due gravi casi di violazione della riservatezza vietando al Comune di Siderno [doc. web n. 2192671] e alla Asl Napoli 2 Nord [doc. web n. 2194472] l´ulteriore diffusione in Internet, in qualsiasi area del loro sito istituzionale, dei dati sulla salute rispettivamente di cittadini disabili e di persone che hanno beneficiato di rimborsi per spese sanitarie.

Alle due amministrazioni, inoltre, è stato prescritto di conformare la pubblicazione on line di atti e documenti alle disposizioni contenute nel Codice privacy e nelle Linee guida del 2 marzo 2011 [doc. web n. 1793203], rispettando, in particolare, il divieto di diffusione di dati sulla salute. Nel disporre i divieti il Garante ha dichiarato illecito il  trattamento di dati effettuato dal Comune e dalla Asl  perché in contrasto con la norma che vieta ai soggetti pubblici di diffondere i dati da cui si possano desumere malattie, patologie e qualsiasi riferimento a invalidità, disabilità o handicap fisici o psichici. Dagli accertamenti effettuati dal Garante a seguito di segnalazioni telefoniche è risultato infatti che sul sito del Comune era liberamente consultabile un allegato al Piano comunale di protezione civile contenente l´elenco delle persone non autosufficienti che abitano da sole o con altri inabili. Nell´allegato erano riportati in chiaro il nome e cognome, la sigla della disabilità oppure la sua indicazione per esteso (es. non vedente) e  in alcuni casi anche la data di nascita e/o l´indirizzo della persona non autosufficiente.  Mentre sul sito della Asl, nella sezione dedicata all´albo pretorio, erano presenti le determinazioni con le liquidazioni degli indennizzi per patologie contratte per cause di servizio, rimborsi per spese sanitarie ( anche  a favore di trapiantati o di persone affette da determinate patologie), che riportavano  in chiaro  il nominativo  e/o il codice fiscale degli interessati o dei familiari che avevano beneficiato dei rimborsi.

Con un separato procedimento l´Autorità sta valutando gli estremi per contestare al Comune e alla Asl una eventuale sanzione amministrativa.

 



Imprese e trasferimento dei dati all´estero
Più facile il ricorso a società che operano in outsourcing

 

I Garanti per la privacy dei Paesi UE riuniti nel Gruppo "Articolo 29" hanno approvato una apposita procedura che consentirà la circolazione di dati personali all´interno di gruppi societari multinazionali che offrono ad altre aziende, con sede nell´Unione europea, servizi di trattamento dati in outsourcing. La procedura prevede l´approvazione da parte delle Autorità garanti nazionali delle cosiddette "Norme d´impresa vincolanti" (Binding Corporate Rules, BCR) per "responsabili del trattamento" ("BCR for Processors") e potrà essere utilizzata a partire da quest´anno.

Le BCR sono regole di condotta relative al trattamento dei dati personali all´interno di un gruppo multinazionale che  consentono, una volta  approvate dalle Autorità nazionali, di trasferire dati personali fra le società del gruppo con sede in UE e quelle situate in Paesi terzi, nel rispetto delle garanzie fissate in base alla direttiva 95/46.

In questo caso la nuova procedura permetterà di  approvare BCR messe a punto da un´impresa multinazionale che sia nominata responsabile del trattamento per conto di titolari (clienti) stabiliti in un Paese dell´UE, sulla base di uno specifico contratto di servizi (generalmente indicato come "Service Agreement"). Tali imprese potranno adesso, se lo desiderano, fare approvare le proprie "BCR for Processors".

Sulla base delle nuove BCR, dunque, un´azienda ad esempio stabilita in Italia che intenda far trattare in outsourcing  dati personali da una multinazionale con sedi o filiali extra-UE potrà essere garantita dal fatto che la multinazionale ha elaborato un sistema di "BCR for Processors" approvato dall´UE.

Il meccanismo di approvazione delle "nuove" BCR non si differenzia da quello esistente da vari anni, i cui requisiti sono illustrati dettagliatamente anche sul sito del Garante (http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#3).

Anche nel caso delle "BCR for Processors" si prevede l´intervento di un´Autorità di protezione dati che fungerà da "capofila" nell´UE per il processo di valutazione e approvazione, cui farà seguito un meccanismo di mutuo riconoscimento (al quale partecipano molte autorità europee di protezione dati, fra cui il Garante); in alcuni casi (come in Italia) è comunque necessaria anche una specifica richiesta di autorizzazione nazionale.

I documenti elaborati dal Gruppo "Articolo 29" al fine di accedere alla procedura di approvazione (WP195 e relativo "Application Form") sono disponibili sul sito del Gruppo (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm) e saranno presto  pubblicati anche sul sito del Garante.

 


L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it