L’Autorità al Forum P.A.
Codice della privacy, identità digitale, sicurezza, comunicazione pubblica i temi affrontati

Il nuovo Codice in materia di protezione dei dati personali, la semplificazione amministrativa, l’identità digitale, i rapporti tra sicurezza collettiva e privacy dell’individuo, la comunicazione  nelle pubbliche amministrazioni,  il ruolo delle authorities: questi i temi sui quali l’Autorità Garante si confronterà quest’anno nell’ambito alla XV edizione del Forum della p.a.., in programma a Roma dal 10 al 14 maggio (www.forumpa.it).

Stefano Rodotà, presidente del Garante, parteciperà al convegno “Tra norme e prassi: per una organizzazione della funzione di comunicazione nelle pubbliche amministrazioni” (11 maggio, ore 12,30) con un intervento dedicato al tema “La funzione di comunicazione nell’interpretazione delle Autorità garanti”.  Il vicepresidente Giuseppe Santaniello, nell’ambito del convegno “Semplificazione e qualità delle regole (13 maggio, ore 9,30), tratterà delle novità introdotte dal Codice in materia di protezione dei dati personali nel rapporto tra cittadino e pubblica amministrazione. Gaetano Rasi, componente dell’Autorità, parteciperà al convegno, in calendario il giorno 11 maggio alle ore 9,30, dedicato a “La sicurezza Partecipata: coordinamento e cooperazione interistituzionale”.  Rasi terrà un intervento su “Problematiche relative alla tutela dei dati personali nella carta d’identità elettronica”, illustrando l’orientamento del Garante sui documenti elettronici e i principali profili problematici della carta d’identità.  Il segretario generale dell’Autorità, Giovanni Buttarelli, parteciperà il 10 maggio, ore 9,30 al convegno “L’identità digitale e gli strumenti di autenticazione in rete tra necessità di semplicità e tutela della privacy” e, nel pomeriggio dello stesso giorno, al convegno dedicato al “Funzionamento e organizzazione delle authorities: esperienze a confronto” (ore 15,00).

Nell’ambito dei Master organizzati ogni anno dal Forum, sempre Buttarelli, il giorno 14 maggio dalle ore 10,00 alle 18,00, terrà un corso su “Il Codice in materia di protezione dei dati personali: le novità riguardanti la pubblica amministrazione”. Il corso si articolerà in una prima parte, a carattere illustrativo, dedicata alle semplificazioni e alle nuove garanzie introdotte dal testo unico in materia di privacy , e in una seconda parte, a carattere pratico, nella quale si effettuerà una verifica dell’applicazione della normativa nei diversi settori della P.A.

Presso lo stand dell’Autorità sarà programmato, nel corso della manifestazione, un video esplicativo sul Codice della privacy e sull’attività del Garante. Saranno inoltre in distribuzione la Relazione annuale, presentata il 28 aprile presso la Camera di Deputati, le pubblicazioni curate dall’Ufficio, i depliant illustrativi e la nuova edizione del CD Rom “Cittadini e Società dell’informazione”, contenente il Codice in materia di protezione dei dati personali.

Presentata la Relazione annuale del Garante

L´Autorità per la protezione dei dati personali, composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi e Mauro Paissan, presenta la  Relazione sul settimo anno di attività e sullo stato di attuazione della normativa, anche dopo l’entrata in vigore del Codice della privacy, il decreto legislativo 30 giugno 2003 n.196.

Il Codice, che riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, rappresenta il primo esempio, su scala internazionale, di riordino di una materia complessa come quella della protezione dei dati personali, ispirato alla semplificazione degli adempimenti e al contestuale rafforzamento delle garanzie per i cittadini.

La  Relazione per l’anno 2003 è suddivisa in tre grandi sezioni dedicate rispettivamente al diritto alla protezione dei dati personali, all’attività del Garante, alla documentazione a carattere nazionale ed internazionale, e traccia il bilancio del lavoro svolto dall´Autorità nei numerosi settori nei quali è stata richiesta una azione di intervento e regolazione a difesa dei diritti fondamentali delle persone.

Un anno che ha registrato, tra l’altro, un rilevante impegno dell’Autorità a tutela di chi naviga in Internet, dei consumatori nei rapporti con banche e finanziarie, delle persone coinvolte in fatti di cronaca, con speciale riguardo ai minori.

Nella relazione vengono anche delineate le direttrici lungo le quali si concentrerà il lavoro del Garante nell’immediato futuro e che riguarderà campi particolarmente “a rischio” come le rilevazioni biometriche a fini di identificazione (impronte digitali, iride, riconoscimento facciale, Dna etc.); le nuove tecnologie applicate alle tlc e comunicazioni elettroniche (“etichette intelligenti” cioè sistemi di identificazione a radiofrequenza o Rfid; la localizzazione e la “tracciabilità” delle persone; le videochiamate); i sistemi per potenziali schedature di massa, attraverso dati genetici, gusti consumeristici, conservazione di dati di traffico telefonico e telematico.

L’attività del Garante
Oggi la tutela della privacy non può più essere intesa come il tradizionale diritto ad “essere lasciato solo”, ma si configura come diritto fondamentale della persona, come diritto di controllare la circolazione dei dati personali e di verificarne il loro corretto uso. Tanto più in un mondo nel quale si va affermando una costante tendenza a delegare alle tecnologie la risoluzione dei problemi, a trasformare il corpo in una password, ad attivare flussi continui ed incontrollati di informazioni personali.

In linea con questa visione, l’impegno del Garante è stato rivolto alla individuazione di effettive garanzie di tutela in ambiti particolarmente delicati, legati ai rischi delle nuove tecnologie a fini di sicurezza; all’uso discriminatorio dei dati personali, anche di quelli più sensibili; alla tutela dei consumatori nei confronti della costruzione di “profili” a scopi commerciali; alla comunicazione elettronica e contro l’abuso delle “e-mail spazzatura”, il cosiddetto spamming (sono stati “bloccati” i data-base di oltre 20 società operanti sul web); al crescente ricorso all’uso di telecamere e sistemi di videosorveglianza; alle modalità per un corretto uso di Sms e degli Mms; al rispetto della dignità delle persone da parte del mondo dell’informazione.

Particolare attenzione è stata rivolta dall’Autorità al mondo produttivo, con un costante lavoro di semplificazione degli adempimenti (compresa la notificazione al Garante dell’avvio di un trattamento di dati), e alle garanzie da assicurare ai cittadini, anche in momenti importanti della vita democratica (si veda, ad esempio, il recente provvedimento sulla propaganda elettorale).

I dati
I dati statistici per il 2003 mostrano un incremento costante del lavoro dell’Ufficio rispetto all’anno precedente. Sono stati decisi 775 ricorsi (nel 2002 erano stati 550), sono passate a 4914 le risposte a quesiti, segnalazioni e reclami (3689 nel 2002) e vi è stato un vero e propri balzo in avanti delle risposte a richieste di informazioni per telefono, passate da 12.800 a 38.000.

I procedimenti relativi alle richieste di accesso e verifica dei dati esistenti nel Sistema Informativo Schengen sono state 464.

Gli interventi più rilevanti
Gli interventi più rilevanti si sono avuti riguardo a:

• pubblica amministrazione (grandi banche dati, carta di identità elettronica, tessera elettorale,  bilanciamento diritto alla riservatezza e diritto di accesso);
• società della sorveglianza (telecamere, raccolta ed uso di dati biometrici, web cam, etichette intelligenti);
• giornalismo e informazione (cronache giudiziarie, protezione dei minori, foto segnaletiche, privacy dei personaggi pubblici);
• Internet (Spamming, furto di identità, consulenze on line, pubblicazione di fotografie sul web, test genetici on line);
• telecomunicazioni (Mms, Sms, localizzazione dei cellulari, conservazione dati di traffico, nuovi elenchi telefonici, bollette “in chiaro”, attivazione di servizi non richiesti);
• direct marketing (informativa e consenso, “profilazione” dei clienti, telefonate e fax indesiderati);
• sanità (dati genetici, banche dati del Dna, banche dati a fini di controllo della spesa pubblica, procreazione assistita);
• rapporto di lavoro (salute dipendenti, controllo a distanza dei lavoratori, annunci di lavoro, gestione curricula, questionari di valutazione);
• attività  giudiziarie e di polizia (consultazione casellario giudiziale da parte delle p.a., acquisizione dati per via telematica da parte delle autorità di p.s.);
• associazioni e movimenti politici (decalogo sull’uso di dati per propaganda elettorale);
• vita sociale (censimento, elenchi dei contribuenti ad alto reddito);
• sistema impresa (trasferimento di dati all´estero, misure di sicurezza);
• sistema bancario e assicurativo (“centrali rischi” private, e-banking, anagrafe assegnai bancari e postali, intermediazione finanziaria).

I codici deontologici
Dopo la pubblicazione in questi anni del codice deontologico dei giornalisti, di quello per storici ed archivisti, di quello sulla ricerca statistica pubblica e privata, in linea con quanto stabilito dal Codice il Garante ha aperto i tavoli di lavoro con le categorie interessate per la predisposizione dei codici di buona condotta riguardanti settori di grandissima rilevanza. Presto vedranno la luce i codici dedicati alle indagini difensive ed alla videosorveglianza, ai quali si aggiungeranno nel corso del 2004, in particolare quelli riguardanti Internet,  i rapporti di lavoro, il direct marketing. Si sono appena conclusi i lavori dei codici dedicati alla cosiddette  “centrali rischi” private e al trattamento dei dati statistici da parte di soggetti che non fanno parte del Sistema Statistico nazionale.

L’attività  internazionale
Il quadro internazionale è stato definito da un sempre più significativo riconoscimento della protezione dei dati quale diritto fondamentale, sancito nella Carta dei diritti fondamentali dell’UE, e elemento essenziale della “costituizionalizzazione” e della libertà della persona; dall’altra dalle pressioni esercitate per utilizzare i dati personali a fini di sicurezza interna ed internazionale.

All’interno del dibattito sui rapporti tra lotta al terrorismo e diritti individuali, tra sicurezza e privacy che ne è derivato, si è svolto l’intenso lavoro portato avanti dal Comitato dei Garanti europei sotto la presidenza di Stefano Rodotà. A tale proposito va sottolineato il particolare rilievo assunto dall’impegno per la definizione di precise garanzie a tutela dei cittadini europei in viaggio verso gli Stati Uniti relativamente al trasferimento alle autorità statunitensi, da parte delle compagnie aeree europee, dei loro dati personali. Impegno che ha trovato conferma nella ferma successiva presa di posizione dell’Europarlamento contro accordi che non prevedano tali necessarie garanzie.

I Garanti UE hanno emanato, inoltre, diversi pareri e documenti riguardo ai dati genetici, alle biometrie, al riutilizzo di informazioni del settore pubblico, alla pubblicità indesiderata, al trasferimento dei dati personali verso paesi extra Ue, all’amministrazione elettronica, alla tutela dei dati negli elenchi cosiddetti “Whois”, contenenti cioè  informazioni per contattare i responsabili dei siti web.

La Relazione contiene anche il sesto rapporto dell’Autorità di controllo comune Schengen, elaborato sotto la presidenza del segretario generale del Garante, Giovanni Buttarelli.

Notificazioni in sanità: precisazioni del Garante

L’Ufficio del Garante per la protezione dei dati personali, rispondendo a quesiti formulati nei giorni scorsi dalla Fimmg, dalla FnomCeo e dall’Anisap, ha ritenuto opportuno fornire alcune  precisazioni relative ai trattamenti in ambito sanitario che non devono essere notificati entro il 30 aprile 2004 in base ad una corretta interpretazione delle disposizioni vigenti (provvedimento consultabile sul sito web www.garanteprivacy.it).

Nel rammentare che la notificazione deve essere effettuata solo se il trattamento è indicato dal Codice in materia di protezione dei dati personali e può essere esclusa per effetto di un provvedimento di esonero che è stato adottato dalla stessa Autorità lo scorso 31 marzo, precisa tra l’altro quanto segue:

Dati genetici e biometrici:
Sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia i medici che in forma associata condividono il trattamento con altri professionisti, specie all’interno di uno stesso studio medico

Il trattamento dei dati genetici non va notificato quando il professionista, nell’ambito di ordinari rapporti con il paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening  o test genetici, indagini prenatali, diagnosi e cura di determinate patologie genetiche).

La notifica deve essere effettuata  solo se il trattamento dei dati genetici è sistematico ed assume il carattere di costante e prevalente attività del medico (ad es. un genetista).

L’esonero non opera invece per i trattamenti di dati  genetici e biometrici effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo aziende sanitarie laboratori di analisi cliniche, associazioni sportive). L’esonero è stato infatti disposto solo in favore di persone  fisiche  esercenti le professioni sanitarie e non per i trattamenti in quanto tali.

Procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive,  diffusive e sieropositività
Le considerazioni sull’esonero espresse in tema di dati genetici e biometrici per i professionisti che effettuano il trattamento individualmente o in forma associata valgono anche per i trattamenti relativi a  procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive,  diffusive e sieropositività.

Nell’esonero rientrano anche i trattamenti effettuati da un medico specialista nell’ambito di un’attività di consulenza o di procreazione assistita, sempre che non siano effettuati in modo sistematico.

Per quanto riguarda malattie infettive il trattamento da notificare  è solo quello che deve essere effettuato “a fini di …rilevazione ...” di tali patologie e in linea generale riguarda gestori di strutture anziché singoli professionisti che occasionalmente vengono a conoscenza di tali.

Prestazioni di servizi sanitari on line
Le prestazioni di servizi sanitari on line vanno notificate  solo se i servizi sono:

a) relativi ad una banca dati o siano prestati per via telematica
b) relativi alla fornitura di beni.

Non vanno quindi notificati:

a) i trattamenti di dati sanitari nell’ambito della teleassistenza (consultazione di specialisti per via telefonica)
b) i trattamenti di dati organizzati in banche dati trattati manualmente (archivi cartacei)
c) i trattamenti di dati  organizzate in banche dati informatizzate ma non collegate ad una rete telematica

Non devono, infine, notificare i medici che usano unicamente un computer nel proprio ufficio; usano la posta elettronica per dialogare con i pazienti, effettuano prenotazioni per gli assistiti, ecc.

Anche sulla base di altri esempi sono stati considerati quindi esonerati dalla notificazione diversi trattamenti effettuati nell’ambito della cd. medicina in rete. Per altri casi di accesso a banche dati da parte di medici è stato precisato che la notificazione compete invece alla a.s.l. o all’ente locale.

Monitoraggio della spesa sanitaria; igiene e sicurezza del lavoro
Poiché non rientrano nel monitoraggio della spesa sanitaria non vanno notificati i trattamenti di dati sanitari effettuati da strutture convenzionate con il Servizio sanitario nazionale, solo per ottenere il rimborso delle prestazioni specialistiche erogate.
(Comunicato stampa del 27 aprile 2004)