L'Avv.
Giuseppe Briganti è Avvocato in Urbino dal 2001 e mediatore
professionista e formatore nei corsi per mediatori dal 2011. Dal 2001
cura il sito www.iusreporter.it dedicato alla ricerca giuridica sul
Web e al diritto delle nuove tecnologie. Svolge attività di
docenza, è autore di pubblicazioni giuridiche e collabora con
riviste giuridiche
(Copyright Immagine
Maksym Yemelyanov - Fotolia.com)
�
�
Il Garante per la protezione dei dati personali chiarisce, come riportato nella newsletter dell'Autorità del 4 luglio 2012, che sulle buste utilizzate dall'Inps per l'invio di documentazione sanitaria non deve essere riportata alcuna indicazione che possa rivelare, anche indirettamente, lo stato di salute dei destinatari.
Il Garante è intervenuto a seguito della segnalazione di un cittadino che si era visto recapitare da una filiale dell'Istituto di previdenza il verbale di accertamento dell'invalidità civile all'interno di un plico sul quale era stampato un timbro con dettagli che rendevano esplicita la sua condizione.
L'Autorità ha ricordato che la normativa in materia di protezione dei dati personali prevede che i plichi postali non devono recare, sulla parte esterna, segni o indicazioni tali da consentire a soggetti estranei di desumere il contenuto delle comunicazioni o degli atti in essi inseriti e dalle quali possano evincersi, anche indirettamente, informazioni idonee a rivelare lo stato di salute del destinatario.
Dopo l'intervento del Garante, si legge ancora nella newsletter dell'Autorità, l'ente previdenziale ha provveduto a modificare le sue procedure e ha disposto che sulle buste utilizzate per l'invio di documentazione sanitaria sia apposto unicamente il timbro della filiale Inps mittente, senza alcuna altra formula o indicazione di dettaglio.
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
(p)Link
Storico
Stampa
« È pervenuta all'Autorità una segnalazione da parte del sig. XY che ha lamentato la ricezione di chiamate indesiderate a carattere promozionale da parte di EE S.p.A. sulla propria utenza di telefonia fissa, nonostante l'intestatario ne avesse curato l'iscrizione nel Registro pubblico delle opposizioni di cui all'art. 130, comma 5 del Codice.
In replica alla richiesta di informazioni formulata dall'Ufficio, la società ha affermato che i relativi recapiti non sono stati estratti dagli elenchi telefonici, bensì "acquisiti da CD S.p.A., società che si occupa di generazione di anagrafiche con consenso per il marketing diretto . e da questa ceduti ad EE in virtù del contratto di fornitura di liste di nominativi stipulato . in data 3 dicembre 2010", versato in atti; che, inoltre, le informazioni personali in questione sono state comunicate dal sig. XY, in quanto possessore di un telefono cellulare marca MM, all'atto della compilazione di un questionario web sul sito della società MM il 1° febbraio 2007 per l'iscrizione al club MM Village, attraverso cui beneficiare di "servizi aggiuntivi e di customer care".
A seguito di un supplemento di istruttoria, CD S.p.A., destinataria di ulteriore, specifica richiesta di informazioni, non ha provato l'avvenuta acquisizione di un valido consenso informato dell'interessato. Ha infatti dichiarato che "purtroppo . il web server utilizzato . era configurato in modo tale da non mantenere un'associazione diretta tra l'indirizzo IP dell'utente e i singoli dati da questi inseriti nel questionario né un collegamento fra l'indirizzo IP dell'utente e il rilascio del consenso". Ha ammesso, inoltre, che la manifestazione di volontà del sig. XY è stata in realtà condizionata da "un meccanismo bloccante per cui senza consenso le anagrafiche e le risposte inserite non venivano nemmeno memorizzate". In altri termini, "l'utente poteva passare alla pagina successiva solo se le precedenti pagine erano state correttamente compilate", di modo che "in caso di mancata selezione del check box di consenso ("no" al trattamento dei dati con fini di promozione commerciale) i dati non erano salvati e l'utente veniva reindirizzato verso una nuova pagina web che indicava la necessità del consenso pena la mancata iscrizione al club".
La formula utilizzata da CD S.p.A. per l'acquisizione del consenso è risultata caratterizzata, tra l'altro, da notevole indeterminatezza, dunque inidonea ad acquisire una reale consapevolezza da parte dell'interessato sui concreti destinatari della comunicazione dei suoi dati personali. Il segnalante, in effetti, è stato testualmente indotto ad acconsentire al generico utilizzo dei propri dati "per finalità promozionali e di ricerche di mercato e per la comunicazione dei dati (CAMPO BLOCCANTE)" (cfr. punto D28 della legenda versata in atti da CD). Anche la versione estesa del testo dell'informativa che CD ha dichiarato essere presente sul sito riporta, quanto ai possibili destinatari della comunicazione dei dati, l'altrettanto generica dicitura di "società che operano nei settori di largo consumo, grande distribuzione, editoriale, finanziario, automobilistico, servizi ed associazioni benefiche"; con l'avvertenza che il loro elenco "è presente presso la sede di CD" e dunque, di fatto, praticamente inaccessibile e non conoscibile dagli interessati.
Occorre poi valutare il ruolo ricoperto nella specifica vicenda da EE S.p.A..
Questa società - la quale, lo si ribadisce, ha acquistato da CD S.p.A. una lista di dati personali in relazione ai quali sarebbe stato preventivamente raccolto il consenso per l'utilizzo a fini commerciali - non è esente da responsabilità con riguardo al trattamento dei dati del segnalante.
Sebbene, infatti, il contratto per la "fornitura liste di nominativi nel segmento residenziale" stipulato tra CD S.p.A. ed EE S.p.A. stabilisca, a più riprese, che soltanto la prima società agisce nella qualità di titolare autonomo del trattamento dei dati personali dei soggetti destinatari delle iniziative commerciali di EE S.p.A.; che, appunto in tale veste, si obbliga a nominare "i teleseller di EE. responsabili del trattamento . non prevedendosi alcuna comunicazione o accesso di EE alle informazioni", di modo che EE S.p.A. si limiterebbe, invece, "a dettare . i criteri di individuazione dei nominativi da contattare senza alcuna ingerenza nel trattamento dei relativi dati" (in tal senso le premesse al contratto, nonché i suoi artt. 2.2 e 12), tuttavia anche EE S.p.A. deve essere considerata titolare del trattamento delle informazioni personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto. A questa società competono, infatti, le decisioni di cui all'art. 4, comma 1, lett. f), del Codice.
Confortano questo convincimento diversi elementi, che devono essere peraltro valutati anche alla luce dell'orientamento già espresso dal Garante nel richiamato provvedimento n. 230 del 15 giugno 2011 in materia di "titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali". Vi sono stati evidenziati gli indici che, in termini concreti, consentono di riconoscere la qualifica di titolare, tra l'altro, al soggetto che venga percepito come tale dall'interessato (in tal senso, la segnalazione del sig. XY); al soggetto, inoltre, che benefici del contatto promozionale, inteso quale antecedente logico dell'instaurando vincolo contrattuale tra la stessa EE S.p.A. e l'utente; a quello che disciplini, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell'attività di telemarketing. Nella fattispecie all'esame, fin dalle disposizioni del contratto si evince che ad EE S.p.A. compete la scelta in ordine ai criteri di individuazione dei nominativi da contattare, dunque alle modalità del trattamento; che, inoltre, i teleseller agiscono "in qualità di responsabili del trattamento come da nomina diretta da parte di CD e secondo le indicazioni che la stessa comunicherà direttamente, fatte salve le intese con il committente" (art. 2.1); che, poi, compete a EE S.p.A. stessa"mettere a disposizione di CD la piattaforma informatica che sarà necessaria per consentire a CD la comunicazione ai teleseller dei dati provenienti dall'archivio di cui in premessa" (art. 4.2). Sono pattiziamente fissati i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte (art. 4.3 e 4.4) e si obbligano alla preventiva condivisione delle regole ("script") da utilizzare per lo svolgimento delle attività (ancora art. 4.4, lett. c)).
E ancora: in base alla disposizione dell'art. 4.4. lett. d) si conviene che il teleseller, in caso di esercizio del diritto di opposizione da parte dei soggetti contattati, comunichi "settimanalmente a CD - a mezzo del committente (cioè EE) - le cancellazioni" da effettuare. È anche disciplinata dal contratto la "trasmissione delle richieste a EE" di coloro che aderiranno alle offerte prospettate, attività che compete ai "responsabili del trattamento" ancorché con l'ininfluente cautela derivante dal fatto che quei dati "verranno di seguito immediatamente cancellati".
Un ulteriore elemento per cui EE S.p.A. non è esente da responsabilità in quanto titolare è costituito dalla clausola di manleva, di cui all'art. 12.4, ai sensi della quale CD S.p.A. si obbliga a tenere indenne EE S.p.A., tra l'altro, a fronte di eventuali "sanzioni penali o condanne conseguenti ad azioni in qualsiasi modo proposte e a provvedimenti di Autorità e pronunce giudiziali . in qualsiasi modo connesse all'utilizzo delle anagrafiche e dei dati contenuti nel data base"; con ciò dimostrando la piena consapevolezza di EE S.p.A. della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati.
È poi la stessa EE S.p.A. ad ammettere che, a seguito della ricezione della segnalazione, ha provveduto "a cancellare, conformemente alla volontà manifestata dall'utente, tutti i riferimenti riconducibili all'interessato dalle proprie banche dati" (cfr. il riscontro alla richiesta di informazioni formulata da questa Autorità); una esplicita conferma allora che, diversamente da quanto previsto nel contratto, le informazioni personali del Sig. XY, presenti all'interno degli archivi della società, hanno senz'altro costituito oggetto di trattamento anche da parte di quest'ultima.
D'altro canto diversamente argomentando, anche avuto riguardo ad un punto di vista squisitamente contrattuale, ci si troverebbe di fronte ad una pattuizione - il richiamato accordo tra CD S.p.A. ed EE S.p.A. - nella quale il sinallagma proprio del negozio giuridico posto in essere (e cioè la fornitura, verso corrispettivo, delle liste di dati personali di interessati che hanno acconsentito alla ricezione di iniziative di carattere commerciale) risulterebbe di fatto alterato, dal momento che quei dati sarebbero destinati, nella formale volontà dei contraenti, a permanere nella sfera giuridica del soggetto fornitore. Questi, infatti, si limiterebbe a riversarli ai propri responsabili, senza possibilità alcuna per l'acquirente di poterne disporre, nonostante il pagamento del relativo prezzo; con l'innegabile vantaggio di tenere indenne EE S.p.A. da oneri, obblighi e responsabilità connessi all'esercizio della titolarità.
In tale situazione, tuttavia, l'oggetto stesso del contratto risulterebbe illecito poiché si realizzerebbe in tal modo un indiretto risultato elusivo delle norme imperative del Codice che disciplinano, appunto, obblighi, oneri e responsabilità del titolare del trattamento di quelle informazioni.
In realtà invece, e per tutti i motivi evidenziati, la disciplina pattizia non corrisponde al reale atteggiarsi dei rapporti, ivi compresi quelli rilevanti in materia di protezione dei dati personali: anche EE S.p.A. deve essere, in effetti - lo si ribadisce - correttamente qualificata titolare del trattamento dei dati personali del segnalante; con l'effetto che, in tale accertata qualità, a questa società sono da ritenersi applicabili le specifiche prescrizioni adottate dal Garante nel menzionato provvedimento generale del 29 maggio 2003, segnatamente quelle relative alla fattispecie dell'acquisto di banche dati ed, in particolare, il principio per il quale "chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario". Non v'è dubbio che il medesimo principio debba essere applicato anche con riguardo alle attività promozionali effettuate utilizzando mezzi diversi dalla posta elettronica (nella fattispecie in esame, le telefonate con operatore), che sono vincolate all'obbligo della preventiva acquisizione del consenso dell'interessato ».
Così Garante per la protezione dei dati personali, provvedimento 5 aprile 2012
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
« La diffusione di dati personali (relativi, cioè, a persone identificate o identificabili) nel corso di una trasmissione televisiva, raccolti nel corso di alcuni arresti effettuati dalla polizia giudiziaria all'esterno e all'interno di private abitazioni, configura un trattamento di dati personali per finalità giornalistiche al quale si applica la particolare disciplina posta dagli artt. 136-139 del Codice per la protezione dei dati personali (d.lgs. 30 giugno 2003 n. 196, di seguito: Codice), posta al fine di contemperare il diritto all'informazione e la libertà di stampa con i diritti della persona, in particolare quello alla riservatezza. In base a tale disciplina il giornalista può divulgare informazioni, anche sensibili, senza il consenso dell'interessato, purché nei "limiti del diritto di cronaca [.] e, in particolare, quello dell'essenzialità dell'informazione riguardo a fatti di interesse pubblico" (art. 137, comma 3, del Codice); si applicano, inoltre, le disposizioni poste dal codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica, riportato nell'allegato A1 del Codice. In particolare il codice deontologico citato, nel riaffermare la "Tutela del diritto di cronaca nei procedimenti penali" (art. 12), precisa che "Salva l'essenzialità dell'informazione" il giornalista "non [.] pubblica immagini o fotografie di soggetti coinvolti in fatti di cronaca lesive della dignità della persona" (art. 8). Sono, altresì, fatte salve le norme di legge poste a tutela del domicilio (art. 3).
Pertanto il giornalista, nel diffondere immagini che documentano operazioni di arresto, dovrà conformarsi sia ai parametri generali tra cui quello che impone di acquisire le informazioni in modo lecito e secondo correttezza (art. 11, comma 1, lett. a) del Codice) nonché di diffonderle dopo aver valutato la loro essenzialità riguardo alla notizia riferita (art. 137, comma 3, sopra citato), sia al principio posto in modo specifico a tutela della dignità di coloro che sono sottoposti ad arresto, principio che, peraltro, è alla base delle limitazioni poste dall'ordinamento (cfr. art. 114, comma 6bis, c.p.p.) alla diffusione di immagini di persone ritratte con manette ai polsi o sottoposte ad altro mezzo di coercizione fisica (su questo punto si veda anche il documento del Garante per la protezione dei dati personali 6 maggio 2004, "Privacy e giornalismo. Alcuni chiarimenti in risposta a quesiti dell'Ordine dei giornalisti" [doc. web n. 1007634]).
Nel caso specifico posto all'attenzione di questa Autorità, si ritiene che la trasmissione "[...]" del 15 gennaio u.s., ha riferito una vicenda di interesse pubblico, relativa ad alcune indagini dell'autorità giudiziaria dalle quali emerge l'infiltrazione di organizzazioni di stampo mafioso nel tessuto economico e nel governo locale di alcune regioni del Nord Italia, riportata con gli strumenti del reportage propri del c.d. giornalismo di inchiesta, particolare modalità di esercizio del diritto di cronaca costituzionalmente protetto, tutelata anche dal codice deontologico citato.
Tuttavia la diffusione in chiaro, anche attraverso riprese "in primo piano", delle immagini relative all'arresto dei segnalanti, non appare conforme al quadro normativo sopra esposto. In particolare, non è rispettoso della dignità della persona diffondere immagini -raccolte per finalità estranee a quelle proprie dell'attività giornalistica- che la ritraggono, anche semisvestita e all'interno della propria abitazione privata, nel momento delicatissimo in cui sta per essere presa in consegna dalle forze dell'ordine a seguito della loro irruzione; peraltro tali specifiche immagini, diversamente da quanto affermato nella nota [...] del 13 aprile u.s., non paiono rendere in termini essenziali una vicenda di indubbio interesse pubblico, in quanto non "indispensabil[i] in ragione dell'originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti" (art. 6, comma 1 del codice deontologico).
Quanto alle modalità con cui sono state raccolte le immagini, il giornalista in base alle disposizioni vigenti è comunque tenuto ad effettuare una propria valutazione sulla diffusione delle informazioni di cui viene in possesso, fermo restando che restano impregiudicati gli aspetti che attengono al compiuto rispetto degli articoli del codice di procedura penale che disciplinano l'attività di indagine della polizia giudiziaria e la sua documentazione nonché l'obbligo del segreto, aspetti che saranno oggetto di segnalazione alla competente Direzione Distrettuale Antimafia.
Pertanto questa Autorità, ritenuto illecito nei termini di cui in motivazione il trattamento dei dati personali dei segnalanti effettuato nel corso della trasmissione "[...]" del 15 gennaio 2012, vieta a [...], in qualità di titolare del trattamento, ai sensi degli artt. 139, comma 5, 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, l'ulteriore diffusione delle immagini in chiaro dei segnalanti ritratti nel momento in cui vengono sottoposti alla misura dell'arresto, di cui in premessa.
Si fa presente che in caso di inosservanza del divieto si renderanno applicabili le sanzioni di cui agli artt. 162, comma 2 ter e 170 del Codice ».
Così Garante per la protezione dei dati personali, provvedimento 18 maggio 2012
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Una notizia riguardante la salute di un minore è un dato personale e sensibile relativamente al minore. Essa è parimenti dato personale e sensibile anche relativamente ad altre persone, come i genitori, alle quali la legge, individuando una specifica diretta conseguenza negativa della malattia, analoga a quella che risente l'ammalato, ovvero individuando un disagio avente la stessa origine fattuale, riconosce per l'appunto il diritto ad ottenere uno specifico beneficio.
La protezione assegnata al dato sensibile non è solo più forte di quella assegnata al dato meramente personale. Essa è qualitativamente diversa, giacché sottolinea l'interesse pubblico ad un trattamento rispettoso di fondamentali principi di convivenza democratica e sociale.
Così Cassazione civile, sez. I, 22 settembre 2011, n. 19365:
« [...] 1.A. Ritiene il collegio che la doglianza, in qualche punto ripetitiva, individui, nel nucleo essenziale riassunto riguardante la distinzione tra dato sensibile e dato personale, la necessità di una migliore precisazione dei principi in gioco.
La trama normativa che consente di ricostruire sul piano giuridico la vicenda che ne occupa muove dall'art. 1 del D.Lgs. [196/2003] di cui si tratta.
Esso recita: "chiunque ha diritto alla protezione dei dati personali che lo riguardano". E' di tutta evidenza la ampiezza dell'oggetto della protezione,giacchè l'uso della dizione "dati personali che lo riguardano" fa diventare "personali" tutti i dati che, per l'appunto, quale che ne sia l'origine ontologica, riguardano la persona che rivendica la protezione in questione.
L'art. 4, quindi, nel chiarire i concetti essenziali che strutturano la normativa alla lettera d) qualifica dato personale, "qualunque informazione relativa a persona fisica, persona giuridica, enti o associazioni, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Ritiene il collegio che con tale espressione la legge ha inteso individuare ogni circostanza trattabile come dato, ovvero capace di essere raccolta in un archivio per qualsivoglia successivo trattamento, in quanto riferibile ad una persona e capace di consentirne la identificazione.
Infine, e per quanto riguarda la questione oggetto del motivo di ricorso, alla lett. d), l'articolo stesso definisce come dati sensibili, quelli, "idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni di carattere religioso, filosofico, politico sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale".
Da tale previsione il Tribunale di [...] trae la conclusione che il dato relativo alla salute che rileva è quello riferibile alla sola persona del soggetto vittima di una condizione negativa di salute.
Il collegio ritiene siffatta distinzione eccessiva rispetto alla finalità della legge, e dunque arbitraria.
1.a. E' opportuno partire, per risolvere la questione, dalla differenza di regime giuridico attribuita al dato sensibile rispetto al più generico dato personale.
Per il secondo in via di principio va detto che l'interessato, ovvero il soggetto al quale il dato si riferisce e che il dato identifica, ha diritto di ottenere conferma della esistenza o meno "di dati che lo riguardano con l'indicazione dei medesimi, delle finalità e delle modalità del trattamento" art. 7 D.Lgs. del 2003). Ha diritto di ottenere l'aggiornamento, la rettificazione o, quando vi ha interesse, l'integrazione che ritiene o la cancellazione o la trasformazione in forma anonima, ed in ogni caso i dati stessi devono essere trattati in modo lecito e secondo specifiche regole che si possono definire di correttezza. Essi devono essere espliciti, legittimi, esatti, aggiornati, per temi pertinenti, completi , e non eccedenti rispetto alla finalità dichiarata. I dati sono custoditi e controllati anche in relazione alla conoscenza acquisita sulla base del progresso tecnico, alla natura dei medesimi e alle caratteristiche del trattamento, così che si evitino rischi di distruzione, perdita, o diffusione; ed ovviamente, chiunque cagiona danno ad altri per effetto del trattamento dei dati stessi è tenuto a risarcirlo anche se non patrimoniale.
I dati personali facenti parte della elencazione di cui alla lettera d) precedentemente citata, ovvero i dati sensibili, ricevono un ulteriore specifico trattamento, anzitutto con l'art. 20 del D.Lgs..
Il principio è quello espresso al numero 1 della norma suddetta, secondo il quale il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge, nella quale sono specificati i tipi di dati che possono essere trattati, nonchè "le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite".
La restante parte dell'art. 20 disciplina quindi le specifiche modalità di operazioni eseguibili rispetto a tali dati sensibili da parte di soggetti pubblici. Conclusione che se ne trae è che la storica esperienza dell'uso discriminante, arbitrario, oppressivo, di dati della persona che per la loro delicatezza, (si pensi a quelli che riguardano opinioni politiche, adesione a partiti, origine razziale, ovvero come dimostra anche la attualità, quelli relativi a specifiche malattie particolarmente invalidanti oppure ad una vita sessuale particolare, da parte delle Pubbliche Amministrazioni e dei Governi, ha fatto prescrivere che qualunque catalogazione di tali dati e qualunque uso se ne intenda fare debbano essere autorizzati dalla legge.
Quindi la norma si preoccupa, per il caso in cui la legge specifichi la finalità di interesse pubblico che giustifica il trattamento ma non indichi le modalità nè i tipi di dati sensibili ai quali il trattamento si dovrebbe riferire, di stabilire l'intervento del Garante che, caso per caso, determina modi e tempi di particolare protezione. Infine la norma precisa che laddove la legge non prevede il trattamento di uno specifico dato, pur rientrante nella categoria della sensibilità, dovrà allora affidarsi al Garante l'individuazione, previo accertamento dell'interesse pubblico al trattamento stesso, dei modi nei quali esso può essere portato a termine.
1.b. Osserva il collegio che la protezione assegnata al dato sensibile non è solo più forte di quella assegnata al dato meramente personale. Essa è qualitativamente diversa, giacchè sottolinea l'interesse pubblico ad un trattamento rispettoso di fondamentali principi di convivenza democratica e sociale. Al punto che essa, in realtà, rende insufficiente la sola autorizzazione al trattamento da parte del titolare del dato, ovvero da parte del soggetto che pure riveste quella posizione culturale, religiosa, politica, oppure di salute, ritenuta abbisognevole di protezione anche con la tutela della sua riservatezza. Infatti l'art. 26, operante fuori del caso dell'utilizzo del dato sensibile da parte di una Pubblica Amministrazione, precisa ancora un fondamentale principio secondo il quale essi dati possono essere trattati solo previo consenso scritto dell'interessato ed autorizzazione del Garante. A dimostrazione che non si tratta solo di un interesse, per quanto fondamentale, del soggetto la cui situazione culturale, politica o sanitaria può essere racchiusa in un dato, ma si tratta invece di un princìpio generale di ordine pubblico delle relazioni tra i soggetti. Sinteticamente,dunque, ritiene il collegio possa dirsi che ogni dato che consenta l'identificazione in capo ad un soggetto di una situazione di debolezza, di disagio, ovvero di una situazione e l'esperienza storica ha dimostrato possa dar luogo a situazioni discriminatorie ovvero lesive dei diritti del titolare del dato stesso, viene prudenzialmente protetto in maniera più forte che non qualunque dato che attenga alla generica riservatezza della persona, con un regime che implica per definizione l'intervento del Garante, quanto meno accanto alla volontà del titolare, se non addirittura in via ed in misura prevalente. Esistono insomma particolari disagi o pericoli di particolari disagi nei confronti dei quali il legislatore ha voluto che il dato personale che ne consente il disvelamento sia particolarmente vigilato. In ragione, appunto, della strutturale ed ontologica pericolosità del disvelamento.
Pertanto, che una notizia riguardante la salute di un minore sia in quanto tale dato personale e sensibile, relativamente al minore stesso, è fuori questione.
Non può dirsi invece che non sia parimenti dato personale e sensibile anche relativamente ad altre persone, come i genitori, alle quali la legge, individuando una specifica diretta conseguenza negativa della malattia, analoga a quella che risente l'ammalato, ovvero individuando un disagio avente la stessa origine fattuale, riconosce per l'appunto il diritto ad ottenere uno specifico beneficio. In definitiva lo stato di salute del figlio, considerato espressamente dalla legge a fondamento di un diritto del padre, e pertanto dato personale del padre stesso,appare pervaso dalla stessa intrinseca delicatezza che fa individuare una necessità di riservatezza ed un disagio analoghi a quelli che si riferiscono all'ammalato nel momento in cui egli espone ad un terzo, ovvero ad una Pubblica Amministrazione, la propria malattia.
Esistono, insomma,a parere del collegio, informazioni che appartengono alla persona non tanto perchè attinenti la fisicità della stessa ma perchè la cultura, nel tempo, ha spinto, all'atto in cui essa individua il patrimonio giuridico della persona, a porre dentro di esso una particolare protezione a fronte della maturata consapevolezza sociale dell' esistenza di un peso meritevole di aiuto. Nel caso che ne occupa si tratta della protezione (prevista dalla L. n 104 del 1992, ma in generale tutte le provvidenze che il sistema giuridico riconosce alla famiglia dell'ammalato portatore di handicap) che deriva dall'essere legato ad obblighi genitoriali di assistenza verso un ammalato. E', dunque, l'obbligo di assistenza che rende personale un dato che nasce sensibile nella situazione soggettiva di altra persona. E tale dato non perde la sua caratteristica di "sensibilità", non diventa dunque meno sensibile, per il fatto che va a strutturare anche il patrimonio di altra persona, diversa da quella dell'ammalato, ma tenuta al carico, anche sociale, della stessa malattia. Dunque, e ciò va precisato anche in considerazione della funzione nomofilattica della Corte oltre che per la rilevanza che detta precisazione può rivestire nella soluzione della vicenda, la distinzione fatta dal Tribunale di [...], tra dati meramente personali e dati anche sensibili, certamente corretta sul piano esegetico e sistematico, non trova applicazione nella specie. Giacchè il dato sensibile, letteralmente tale in capo al minore, in quanto caratterizza il complessivo statuto dei diritti che fanno capo al padre lavoratore e pervaso dalla stessa delicatezza culturale, è anche dato sensibile riferibile a questi. La estensione del dato in questione, necessitata dalla richiesta di una provvidenza quale quella di cui alla Legge n 104 citata, conduce ad una dolorosità ed a rischi di discriminazione sociale che riguardano appunto il genitore, cosicchè il trattamento di tali dati da parte di una PA deve rispondere alle cautele che la legge ha connesso a quei dati.
Conclusivamente deve dirsi che il dato sulla salute, ovvero riguardante una condizione negativa di salute di una persona, che dà luogo a conseguenze giuridiche nel patrimonio di familiari tenuti agli obblighi di assistenza, e che per tale caratteristica necessita di ostensione, deve essere assistito dalla protezione del dato sensibile anche quando identifica la persona del familiare predetto, ovvero il suo statuto di diritti [...] ».
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
No alla "dichiarazione dei redditi" in farmacia
Il Garante privacy ha recentemente precisato che non ci sarà bisogno di dichiarare il proprio reddito al farmacista per individuare l'importo del ticket da pagare.
Basterà infatti che i medici appongano un codice sulle ricette per l'acquisto dei farmaci e per le altre prestazioni sanitarie. In questi termini il Garante privacy ha dato via libera allo schema di linee di indirizzo in materia di misure regionali di compartecipazione alla spesa sanitaria per fasce di reddito, predisposte dal Ministero dell'economia e delle finanze.
Le nuove misure, che avranno valore su tutto il territorio nazionale, traggono origine dalle segnalazioni di pazienti che, per usufruire delle esenzioni sul ticket, erano stati costretti a comunicare il loro livello di reddito al farmacista, magari in presenza di altri clienti, o alle persone che eventualmente acquistavano medicinali per loro conto. Alcune Regioni, infatti, in seguito alla manovra economica 2011, avevano deciso di non introdurre il pagamento di 10 euro sulle ricette per le prestazioni specialistiche ambulatoriali, differenziando invece il ticket richiesto in base alla fascia di reddito familiare. Le modalità adottate, però, non garantivano un'adeguata protezione dei dati personali dei pazienti.
Lo schema di linee di indirizzo, che tiene conto delle indicazioni fornite dal Garante al Ministero dell'economia e delle finanze e al Ministero della salute, prevede che, a tutela della privacy, sia il medico stesso ad apporre sulla ricetta un codice teso a identificare, non in chiaro, la fascia di reddito di appartenenza dell'assistito, e quindi a definire l'entità del contributo da pagare. All'atto della prescrizione, il medico dovrà verificare il codice da inserire per ogni persona collegandosi al Sistema tessera sanitaria oppure utilizzando l'apposita documentazione cartacea o digitale predisposta dalla azienda sanitaria locale.
Fonte: www.garanteprivacy.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Con il provvedimento a carattere generale del 4 ottobre 2011, il Garante privacy detta le regole in materia di sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro.
Il Garante privacy prescrive in particolare ai datori di lavoro pubblici e privati che si avvalgono di sistemi di localizzazione e di comunicazione della posizione rilevata installati a bordo dei veicoli ed impiegati per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro:
a. quale misura necessaria, nel rispetto del principio di necessità, che la posizione del veicolo non sia di regola monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite;
b. quale misura necessaria, in base al principio di pertinenza e non eccedenza, che i tempi di conservazione delle diverse tipologie di dati personali eventualmente trattati siano commisurati tenendo conto di ciascuna delle finalità in concreto perseguite;
c. quale misura necessaria, la designazione quali responsabili del trattamento ai sensi dell'art. 29 del Codice degli operatori economici che forniscono i servizi di localizzazione del veicolo e di trasmissione della posizione del medesimo, impartendo loro le necessarie istruzioni in ordine all'utilizzo legittimo dei dati raccolti per le sole finalità previste dall'accordo che regola la fornitura del servizio di localizzazione, con la determinazione delle tipologie di dati da trattare nonché delle modalità e dei tempi della loro eventuale conservazione;
d. quale misura opportuna, un modello semplificato di informativa, quale quello individuato nell'allegato 1 del provvedimento, utilizzabile alle condizioni indicate, al fine di rendere noto agli interessati il trattamento effettuato mediante il sistema di localizzazione del veicolo.
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Slide della relazione dell'Avv. Giuseppe Briganti tenuta in occasione dell'evento formativo
"Vigilanza sugli intermediari Entratel"
organizzato da Digitrust presso la sede dell'Ordine dei Dottori Commercialisti ed Esperti Contabili di Pesaro-Urbino in data 26 ottobre 2011
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Attraverso il form di iscrizione ad un sito web si possono raccogliere solo i dati personali strettamente necessari a fornire il servizio per il quale l'utente si registra.
Questo il principio affermato dal Garante per la protezione dei dati personali, che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti on line per essere informati sulle attività dell'ateneo.
Come si legge nella newsletter del Garante n. 352 del 19 ottobre 2011, nel corso di accertamenti ispettivi è emerso infatti che l'università, mediante il form di registrazione al sito, raccoglieva anche informazioni, quali luogo e data di nascita, codice fiscale, cittadinanza, che sono risultate eccedenti e non pertinenti rispetto alle finalità dichiarate di mantenere contatti con gli utenti interessati al mondo dell'ateneo e di informare sulle novità e gli appuntamenti universitari.
Oltre al divieto, l'Autorità ha prescritto all'ateneo di modificare le modalità di raccolta on line dei dati personali, eliminando dal form di registrazione la richiesta dei dati risultati non pertinenti.
L'università, inoltre, nel caso in cui intenda comunicare i dati personali a terzi, dovrà indicare chiaramente nell'informativa i soggetti o le categorie di soggetti, i motivi della comunicazione ed avere il consenso degli utenti.
Prima dell'intervento del Garante, l'ateneo forniva un'unica informativa ed acquisiva il consenso per tre diverse finalità (per la registrazione al sito, per la valutazione del curriculum vitae dell'utente e per l'iscrizione e l'immatricolazione ai corsi) richiedendo come "obbligatori" dati personali (cognome e nome, luogo e data di nascita, codice fiscale, cittadinanza, indirizzi di residenza, domicilio, indirizzo mail, numero di cellulare) necessari solo per alcune di esse.
Fonte: www.garanteprivacy.it
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
Si segnala questo convegno, al quale l'Avv. Giuseppe Briganti parteciperà con una relazione sugli aspetti normativi legati al Codice della privacy:
Digitrust organizza un convegno multidisciplinare il 26/10/2011 a Pesaro sulla Vigilanza sugli intermediari Entratel da parte dell'Agenzia delle Entrate.
"Gli obblighi e gli strumenti per tutelare la riservatezza e la protezione dei dati negli studi professionali come da comunicato della Ag. Entrate del 03/08. Linee normative e soluzioni pratiche per prevenire eventuali revoche dell' abilitazione al canale Entratel."
I relatori che si alterneranno presso la sala ODCEC di Pesaro saranno:
- Dott. Bruno Mongaretto, dottore commercialista, esperto in protezione dei dati e privacy
- Avv. Giuseppe Briganti, avvocato e conciliatore, esperto in diritto delle nuove tecnologie e privacy
- Dott. Luca Pasquale, IT Architect e Consulente Business Intelligence
- Gabriele Gennari, esperto in IT e nuove tecnologie, consulente Federprivacy
Scaricare la locandina ufficiale per vedere il programma completo e i dettagli dell'evento.
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Il Garante privacy, con un recente provvedimento, ha vietato a un ente alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti.
La decisione è stata adottata dall'Autorità a seguito di accertamenti effettuati per verificare la corretta applicazione da parte dell'ente della normativa in materia di protezione dei dati personali riguardo all'utilizzo di Internet, posta elettronica aziendale, sistemi di telefonia su Internet (Voip), nonché per verificare la correttezza dell'operato degli amministratori di sistema. Il provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza.
Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, l'ente monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo. Venivano inoltre conservati per un tempo indeterminato i numeri di telefono chiamati da ogni dipendente tramite Voip e la durata delle singole conversazioni.
Trattamenti questi, evidenzia il Garante, non consentiti dallo Statuto dei lavoratori, che vieta il controllo a distanza dei lavoratori, ammettendolo solo in casi particolari e con l'adozione di necessarie garanzie.
I dati trattati dall'ente in violazione di legge non potranno quindi essere più utilizzati. L'ente potrà conservare le informazioni finora raccolte solamente in vista di una eventuale acquisizione da parte dell'autorità giudiziaria.
Contestualmente al divieto, l'Autorità ha ordinato all'ente di informare dettagliatamente i propri dipendenti sulle modalità d'uso e di archiviazione della posta elettronica e di rendere conoscibili le identità degli amministratori di sistema, le cui operazioni dovranno essere tracciabili.
Con riferimento ai fatti accertati è stato infine avviato un procedimento sanzionatorio per violazione degli obblighi di informativa e inosservanza dei provvedimenti dell'Autorità.
Fonte: www.garanteprivacy.it, newsletter 351 del 20 settembre 2011
Per segnalazioni e aggiornamenti, seguici su Twitter o su Facebook
A cura dell'Avvocato Giuseppe Briganti, avvbriganti.iusreporter.it
Visita diritto*internet - Il non sempre facile rapporto tra Internet e la legge
Consulenza e formazione in materia di privacy
Studio Legale Avvocato Giuseppe Briganti
Pesaro - Urbino
Note legali. Quanto precede non costituisce né sostituisce una consulenza legale. Testi senza carattere di ufficialità
