Newsletter 5 - 11 luglio 1999 

• I concessionari di servizi pubblici devono rispettare la privacy.
• Si possono integrare i dati in possesso della P.A.
• Formazione professionale e monitoraggio affidato ai privati.
• Albo dei geometri: accessibili i provvedimenti disciplinari.
• La spia hi-tech che forse vi tiene tutti sott´occhio in ufficio.

I concessionari di servizi pubblici devono rispettare la privacy

Anche le società per azioni che agiscono come concessionari di pubblici servizi devono rispettare le regole previste dalla legge sulla privacy per il settore privato.

Lo ha stabilito il Garante rispondendo ad un quesito posto dalle Ferrovie dello Stato S.p.a. La società ha chiesto al Garante se per il trattamento di dati sanitari, relativi in particolare alle visite periodiche sull´idoneità fisica dei dipendenti, potessero avvalersi dello stesso regime giuridico previsto per le amministrazioni pubbliche. Ciò in ragione del fatto che i numerosi compiti di accertamento e controllo sulle condizioni psicofisiche dei dipendenti, svolte dal servizio sanitario della società, sono state demandate alle F.S. S.p.a. da apposite norme legislative emanate quando il titolare dell´esercizio ferroviario aveva ancora natura giuridica di azienda autonoma, norme successivamente confermate anche quando le Ferrovie dello Stato hanno assunto la veste giuridica di ente pubblico economico, prima, e di società per azioni, poi.

Il Garante ha affermato che le Ferrovie dello Stato, che indubbiamente si trovano nella posizione giuridica tradizionalmente indicata come "esercizio privato di pubbliche funzioni", non possono essere però considerate un soggetto pubblico per quanto riguarda le garanzie sulla riservatezza dei dati.

La legge n. 675 del 1996, infatti, delimita con precisione la categoria dei soggetti pubblici (escludendo espressamente gli enti pubblici economici) e non consente che in tale categoria vengano ricompresi soggetti aventi natura di

società per azioni, come appunto le F.S., anche se queste agiscono come concessionari di pubblici servizi o incaricati dello svolgimento di pubbliche funzioni. A tali società va, dunque, applicata la disciplina concernenti i soggetti privati.

La distinzione è stato, d´altra parte, confermata dal recente decreto legislativo dell´11 maggio 1999, n. 135 sul trattamento dei dati sensibili da parte delle amministrazioni pubbliche.

Per il trattamento di dati riguardanti il personale dipendete, le Ferrovie dovranno, pertanto, fornire agli interessati la prevista informativa, in forme semplici e sintetiche, ed acquisire, laddove necessario, il relativo consenso.

Per quanto riguarda il trattamento dei dati sanitari, in particolare, il consenso viene richiesto ai dipendenti in relazione al complesso di dati e delle operazioni svolti dal datore di lavoro. La legge sulla privacy prevede tale consenso come meccanismo automatico di particolare tutela, affinché l´interessato acquisti consapevolezza dei trattamenti effettuati su dati di particolare rilievo svolti, per obblighi di legge o di contratto, sia all´interno dell´azienda che presso soggetti esterni. La richiesta di consenso va effettuata una volta per tutte e riguarda il normale svolgimento delle operazioni che sono previste in molti casi nell´interesse del dipendente stesso (corresponsione di stipendi e altri benefici, prestazioni previdenziali e assistenziali, ecc.).

Si possono integrare i dati in possesso della P.A.

Il cittadino che ha motivate ragioni per richiedere l´integrazione dei propri dati, deve vedere soddisfatto questo diritto. Il gestore della banca dati deve perciò corrispondere alla richiesta in base all´obbligo che la legge sulla privacy gli impone di trattare solo dati esatti, completi ed aggiornati (art.9).

Questo principio è stato affermato dal Garante nella decisione relativa ad un ricorso presentato da una persona che aveva chiesto l´intervento dell´Autorità affinché il Ministero della Difesa provvedesse alla "cancellazione o all´integrazione dei suoi dati personali contenuti nel foglio matricolare", con particolare riferimento ai dati sensibili riguardanti lo stato patologico che determinò a suo tempo il collocamento in congedo illimitato. L´interessato aveva rivolto al Ministero un´istanza con la quale aveva appunto richiesto che nel foglio matricolare si desse conto delle risultanze della perizia effettuata alcuni anni dopo dal Collegio medico legale della Direzione generale della sanità militare, dalla quale emergono risultanze diverse e più favorevoli rispetto a quelle rilevate anni prima dall´Ospedale militare.

Il Ministero non aveva soddisfatto la richiesta facendo notare che già sulla base delle leggi vigenti, l´ambito di comunicazione di questi dati, riguardanti le patologie riscontrate, è limitato. Infatti tali dati possono essere messi a disposizione soltanto dell´interessato e delle strutture sanitarie pubbliche.

Esaminando il caso, il Garante ha dichiarato il ricorso infondato per quanto attiene alla richiesta di cancellazione dei dati personali dell´interessato, ma fondato e meritevole di accoglimento per quanto concerne la richiesta di integrazione dei dati.

Per quanto riguarda il primo aspetto, la legge sulla privacy stabilisce che la cancellazione dei dati personali può essere richiesta dall´interessato qualora i dati siano trattati in violazione di legge. Tutti i trattamenti dei dati personali comuni e sensibili, svolti dai vari organi dell´amministrazione della difesa nel caso specifico, sono invece avvenuti in attuazione delle disposizioni normative che disciplinano, in particolare, le cause inabilitanti al servizio militare. Si tratta, cioè, di trattamenti finalizzati all´adempimento da parte dell´amministrazione delle proprie finalità istituzionali. Il Garante non ha ravvisato quindi le condizioni per poter accogliere la domanda di cancellazione dei dati.

Per quanto riguarda, invece, il secondo aspetto, l´art.13 della legge sulla privacy prevede che l´interessato ha diritto ad ottenere "qualora vi abbia interesse, l´integrazione dei dati". Il Garante ha affermato che può esistere un legittimo interesse della persona ad ottenere che i dati riguardanti il proprio stato di salute (nel caso specifico quelli risultanti dal foglio matricolare) siano aggiornati e completi. E ciò per evitare che le strutture sanitarie pubbliche che sono legittimate alla conoscenza di tali dati vengano in possesso di informazioni inesatte, incomplete o, come nel caso in esame, non aggiornate in quanto riferite ad una situazione diagnosticata molti anni fa ed ora non più attuale.

Deve, pertanto, considerarsi legittima la richiesta dell´interessato di ottenere l´integrazione del dato riguardante la sua salute psicofisica.

Va riconosciuta, in particolare, la possibilità all´interessato di far integrare la diagnosi a suo tempo effettuata dai medici dell´ospedale militare con le successive risultanze degli accertamenti effettuati presso il Collegio medico legale della Direzione generale della sanità. Tali accertamenti avevano, infatti, messo in luce un quadro clinico diverso da quello riscontrato anni prima e giustificano la richiesta di integrazione ed aggiornamento del dato. La necessità che tutti i dati personali e quindi anche dati particolarmente delicati come quelli riguardanti lo stato di salute siano esatti, aggiornati e completi è chiaramente affermata dall´art.9 della legge n.675 del 1996 e costituisce uno dei cardini della disciplina in materia di protezione dei dati personali. Tale importante principio è stato recentemente ribadito, con specifico riferimento ai dati sensibili trattai da soggetti pubblici, dal recente decreto legislativo dell´11 maggio 1999, n.135, il quale stabilisce che le amministrazioni pubbliche verifichino "periodicamente l´esattezza e l´aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi".

Alla luce di queste motivazioni, il Garante ha ordinato al Ministero della difesa di aggiornare il foglio matricolare dell´interessato.

Formazione professionale e monitoraggio affidato ai privati

Il Ministero del lavoro ha chiesto un parere al Garante in merito al trattamento di dati svolto da un soggetto privato per conto dell´Amministrazione in relazione ai tirocini avviati nell´ambito di progetti di formazione professionale.

Il Garante ha innanzitutto ricordato che i trattamento dei dati personali non sensibili da parte delle amministrazioni pubbliche è regolato dall´art.27 della legge n.675 del 1996, che consente di compiere operazioni di trattamento solo per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti.

Nel caso in esame, il trattamento dei dati da parte del Ministero del Lavoro trova fondamento nella legge n.845 del 1978, legge quadro sulla formazione professionale, che prevede e finanzia interventi in materia di studi, ricerca e sperimentazione, da realizzare sulla base di uno specifico piano annuale.

Per quanto riguarda, in particolare, l´affidamento a privati di attività per fini istituzionali da parte di un´amministrazione pubblica, la legge sulla privacy non pone alcun ostacolo. Il privato che svolga determinate attività per organismi pubblici, attraverso concessioni, appalti o convenzioni, può infatti essere formalmente designato responsabile del trattamento o, in mancanza di tale designazione, va considerato come soggetto autonomo che tratta i dati.

Nella prima ipotesi, il privato diviene elemento strumentale rispetto alle finalità della struttura pubblica ed è quindi tenuto ad utilizzare i dati per i soli scopi perseguiti dall´amministrazione. Nel secondo caso, va invece considerato come soggetto autonomo titolare del trattamento e deve rispettare le norme relative ai soggetti privati e chiedere il previsto consenso agli interessati, laddove necessario (art.17 e 10 della legge n.675).

Restano fermi, comunque, per il privato come per il Ministero, alcuni obblighi: a) fornire l´informativa agli interessati inserendola, ad esempio nel modello di partecipazione al progetto; b) adottare le misure idonee ad assicurare la riservatezza delle informazioni acquisite e la sicurezza minima delle banche dati; c) utilizzare soltanto dati strettamente necessari rispetto agli scopi per i quali i dati sono raccolti e successivamente trattati.

Albo dei geometri: accessibili i provvedimenti disciplinari

Un Collegio provinciale dei geometri ha chiesto al Garante se i provvedimenti di sospensione dall´esercizio della professione di geometra possono essere comunicati a soggetti che hanno frequenti contatti con questi professionisti.

Il Garante, ribadendo quanto già sottolineato in risposta a diversi quesiti, ha affermato che la legge sulla privacy non ha modificato la disciplina relativa al regime di pubblicità degli albi e alla conoscibilità degli atti connessi.

In particolare, la normativa che regola la professione di geometra individua i soggetti cui devono essere comunicati l´albo ed i provvedimenti di sospensione dall´esercizio della professione (cancellerie delle corti d´appello e dei tribunali della circoscrizione di competenza; pubblici ministeri presso le medesime autorità giudiziarie; camere di commercio e segreteria del consiglio nazionale dei geometri). Non è prevista invece la comunicazione in favore di altri soggetti, né la diffusione. Tale normativa, inoltre, in analogia a quanto avviene per altri albi relativi a liberi professionisti, rende già possibile una diffusa conoscibilità dell´albo presso le amministrazioni destinatarie.

Gli albi dei liberi professionisti sono ispirati, per loro natura e funzione, ad un regime di piena pubblicità, anche in funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti all´albo. Questa pubblicità, in linea di principio, riguarda anche i provvedimenti che implicano modifiche di status di iscritto all´albo, quale quello di sospensione dall´esercizio della professione.

In questo quadro, pur non essendo configurabile un dovere del Collegio di dare comunicazione dei provvedimenti di sospensione a soggetti diversi da quelli indicati nella normativa professionale, è però possibile comunicare i medesimi provvedimenti ad altri soggetti pubblici, sempre che ciò risulti necessario per svolgere precise funzioni istituzionali di almeno una delle amministrazioni interessate. La legge n.675 del 1996 permette, infatti, ad un soggetto pubblico di comunicare dati ad altre amministrazioni pubbliche anche quando, come nel caso in esame, manchi una previsione di legge o di regolamento che lo autorizzi, ma la comunicazione risulti necessari per lo svolgimento delle predette funzioni e si effettui una comunicazione al Garante (art.27).

Per quanto riguarda i privati, non essendo possibile comunicare o diffondere nei loro confronti i dati quando manchi una precisa previsione normativa, la conoscibilità dei provvedimenti è comunque possibile se si esercitano i diritti riconosciuti dalla normativa sull´accesso ai documenti amministrativi.

La spia hi-tech che forse vi tiene tutti sott´occhio in ufficio
(articolo pubblicato sull´Indipendent del 28 giugno)

Sono sempre di più le imprese che spiano il comportamento dei dipendenti attraverso un´ampia gamma di tecniche di sorveglianza occulta - questa l´opinione di numerosi esperti. Le imprese possono controllare i messaggi di posta elettronica e le chiamate telefoniche dei dipendenti, registrarne le conversazioni e filmare con videocamere ogni loro mossa.

Le prove di questa attività di spionaggio a danno dei dipendenti saranno presentate oggi nel corso di una conferenza ad hoc organizzata dal sindacato MSF - di fronte alla sede dell´M16 [il servizio segreto UK], sulle rive del Tamigi.

"Tutti i dipendenti dovrebbero sapere che il Grande Fratello è già all´opera", ha affermato Roger Lyons, segretario generale dell´MSF. Simon Davies, del centro di ricerca sulla sicurezza informatica della London School of Economics, ha dichiarato che "nel Regno Unito, il datore di lavoro può intercettare le chiamate telefoniche, leggere i messaggi di posta elettronica e monitorare le schermate del computer. Può mettere cimici per spiare le conversazioni, analizzare il funzionamento del computer e della tastiera, scrutare il comportamento dei singoli utilizzando telecamere a circuito chiuso, controllare i movimenti del dipendente attraverso tecnologie di tracciamento, analizzare le urine per individuare la presenza di stupefacenti, ed esigere la comunicazione di dati personali anche appartenenti alla sfera più intima".

Davies afferma che le imprese tendono a giustificare queste forme di sorveglianza adducendo motivi sanitari o di sicurezza, la necessità di curare i rapporti con la clientela oppure obblighi di natura giuridica. "Nella maggior parte dei casi, il vero obiettivo della sorveglianza è il monitoraggio del rendimento, la sorveglianza del personale o la pura e semplice applicazione di prassi discriminatorie".

Guy Dehn, del servizio Public Concern at Work, ha dichiarato che le chiamate ricevute dal loro servizio di consulenza telefonica mostrano che la sorveglianza costituisce un problema sempre più grave. "Varie persone ci hanno contattato per dirci di avere scoperto videocamere nascoste dentro rivelatori di fumo. Una scoperta del genere suscita l´ostilità del dipendente e mina qualsiasi fiducia nel luogo di lavoro", ha detto Dehn.

Le imprese dispongono di un notevole arsenale tecnologico per queste attività di spionaggio. Una società giapponese ha messo a punto un impianto di WC in grado di analizzare l´urina dei dipendenti e rilevare l´abuso di stupefacenti o sostanze alcoliche.

Secondo Simon Davies della London School of Economics, un pacchetto software di recente introduzione, chiamato The Ascentor, permette la scansione dei messaggi di posta elettronica ed è in grado di stabilire se questi riguardino o meno le normali attività lavorative. Le imprese stanno infatti adottando politiche sempre più restrittive in rapporto all´utilizzo di sistemi informatici per fini personali da parte dei dipendenti. La scorsa settimana, una donna del Cheshire che aveva utilizzato il computer della ditta presso cui lavorava per navigare su Internet alla ricerca di offerte di viaggio ha perso la causa intentata per licenziamento ingiustificato.

Presso la Rolls Royce di Bristol, un dipendente aveva inviato inavvertitamente una "immagine impropria" (pornografica) al collega sbagliato, che aveva lamentato questa circostanza. Un´inchiesta interna ha portato all´individuazione di una rete di posta elettronica nel sistema informatico dell´impresa che veniva utilizzata per lo scambio di materiale "scottante" e di battute o vignette umoristiche. Il mese scorso si è tenuta un´udienza disciplinare a carico di 15 persone; cinque sono state licenziate, ed altre hanno ricevuto un ammonimento per iscritto.

Secondo Robin Chater, della Personnel Policy Research Unit, molte istituzioni della City tengono i dipendenti sott´occhio attraverso le nuove tecnologie. "Le banche di affari sono senz´altro le più attente a monitorare le comunicazioni del personale. Si tratta dell´"effetto Leeson": c´è il terrore che un dipendente possa compiere operazioni finanziarie non autorizzate".

Il direttore dell´Autorità inglese di protezione dati (Data Protection Registrar), Elizabeth France, che oggi terrà una relazione nel corso della conferenza, ha dichiarato: "Il ricorso crescente a forme di sorveglianza sul luogo di lavoro ha implicazioni significative per la privacy dei singoli." L´Autorità pubblicherà a breve una serie di direttive "che speriamo servano a stabilire alcune semplici regole fondamentali per garantire che i dipendenti siano trattati in modo leale".

Sorveglianza occulta all´opera sul posto di lavoro

• A Leeds, la Metropolitan University ha utilizzato di nascosto telecamere per filmare e registrare le conversazioni di tre dipendenti nei cui confronti erano giunte segnalazioni anonime che li descrivevano come spacciatori di droga. I tre hanno saputo di essere sorvegliati solo dopo essere stati sospesi dal lavoro. Non sono state trovate prove dell´attività di spaccio.
• A Birmingham, il consiglio comunale ha speso 60.000 sterline all´inizio di quest´anno per l´acquisto di microcamere e altre apparecchiature del genere. I sindacati hanno minacciato di ricorrere al tribunale del lavoro dopo che il consiglio aveva utilizzato questo materiale per filmare e intercettare conversazioni dei dipendenti. "E´ l´avvento del Grande Fratello", ha dichiarato Steve Foster, presidente dei rappresentanti sindacali nel consiglio comunale.
• Brian Harris, rappresentante del sindacato MSF presso l´ex-impianto della Siemens Defence Systems nell´Isola di Wight, ha scoperto che la società aveva assunto investigatori privati con il compito di tenerlo sotto videosorveglianza. Harris ha concluso un accordo extragiudiziale dopo aver fatto causa alla società.