FORMAZIONE E SUPPORTO AL RESPONSABILE PER LA PROTEZIONE DATI PERSONALI – DPO
Consulenza e formazione Privacy
News
Seminario formativo 18 Dicembre 2019.
Una giornata di studio e confronto con relatori ed esperti in tante discipline .
Partecipazione Gratuita
Per iscriversi è necessario registrarsi tramite il seguente link:
https://promuovere-propria-immagine-rispettando-gdpr.eventbrite.it
1 – Quesito
In base al Regolamento Europeo 2016/679, GDPR, le determinazioni/atti amministrativi devono essere pubblicati con testo e allegati per 15 giorni all’albo pretorio on line e poi in amministrazione trasparente per gli anni previsti per legge, solo con l’oggetto privati del testo. Vi sono indicazioni in merito?
Risposta
Quando l’atto da pubblicare contiene informazioni / dati personali di tipo “giudiziario”, o di tipo “sensibile”, in particolare sulla salute o sulla vita sessuale, in riferimento agli art.9 e 10 del GDPR, occorre porre molta attenzione, in quanto occorre verificare se esiste una legge per cui specificatamente tale atto, e/o i dati personali dei soggetti coinvolti debbano essere pubblicati, e se sia indispensabile la pubblicazione del nome e cognome della persona per raggiungere le finalità di trasparenza amministrativa. Normalmente la finalità di trasparenza, a meno che non esistano leggi specifiche per la pubblicazione, prevede di raggiungere l’obiettivo di rendicontazione delle attività della Pubblica Amministrazione, e come vengono spesi i “soldi pubblici”.
La soluzione, qualora non vi sia una legge specifica che prevede la pubblicazione del nome del contravventore, è di pubblicare l’atto con gli elementi identificativi diretti ed indiretti del contravventore illeggibili.
Si suggerisce di consultare le linee guida del Garante della Privacy del 2014 che aiutano ad interpretare il D.Lgs. 33/2013, ed in particolare attenersi al diagramma di flusso decisionale della pagina 16, reperibile
all’indirizzo https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4519681
2 – Quesito
Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali?
Risposta
Dopo aver verificato la sussistenza dell´obbligo di pubblicazione dell´atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono particolari (ossia idonei a rivelare ad esempio l´origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l´adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.
3 – 4 Quesito
Pagamento retta casa di riposo. la signora xxxx, è in casa di riposo yyy privata, ha un contratto con la casa di riposo yyy a cui versa la sua pensione di 1000 euro, ma la retta è di 1500, quindi la signora xxx ogni anno chiede al comune di integrare. il comune fatto istruttoria e determina integra di 500/mese la retta, pagando tramite fattura inoltrata dalla casa di riposo, la struttura direttamente. Alla casa di riposo si trasmette la determina e la lettera con scritto che per la signora xxx il comune paga 500 euro al mese; la casa di riposo è a scelta della persona con la quale fa direttamente un contratto. Al comune la persona chiede un contributo per la retta a fronte di difficoltà nel pagamento sulla base del regolamento in vigore. La persona autorizza il comune a pagare direttamente al casa di riposo
Risposta
L’Ente è titolare del trattamento per il trattamento dati inerente il contributo che assegna alla signora xxx. Si suppone che sulla base dell’ISEE la signora xxx abbia un contributo stabilito dal comune sulla retta della casa di riposo. Il comune attraverso la Sig. xxx prende contatti con la cooperativa che gestisce la casa di riposo e mediante una determinazione stabilisce di pagare l’integrazione della retta direttamente alla casa di riposo, in riferimento della Signora xxx.
Di fatto il Comune instaura un rapporto con la casa di riposo, che prevede il pagamento di una quota della retta in capo all’ospite della struttura per effetto di una norma di legge. Di fatto i dati personali che vengono trattati dalla casa di riposo, per effetto del rapporto in essere, è relativo alla gestione contabile amministrativa, alla fatturazione, ma anche indirettamente al grado di autosufficienza economica derivante dall’ISEE dell’utente.
L’elenco degli utenti meno abbienti che percepiscono il contributo dal comune, i dati anagrafici ed eventualmente dei loro familiari, costituiscono un trattamento dati, e per questo trattamento, se pur minimo, è applicabile il paragrafo 1 dell’art. 28 del GDPR; pertanto riteniamo si debba redigere una nomina a responsabile del trattamento specifica per detti trattamenti dati.
5 – Quesito
La trasmissione di dati personali e o sensibili o particolari ad enti pubblici, tipo azienda ulss (per valutazione situazioni sociali per ingresso in strutture, telesoccorso, utenza seguita da servizi specialistici ecc), ater (per assegnazione case popolari), regione e provincia per bandi per contributi, inps per casellario assistenza (che vuole i dati economici, sanitari degli interventi svolti e effettuati). Tali trasmissioni sono regolate da norme nazionali o regionali e da prassi di lavoro in collaborazione tra servizi.
Risposta
In riferimento al quesito relativo alla trasmissione di dati “particolari” in riferimento all’art. 9 del GDPR, e “relativi a condanne” art. 10 GDPR – la comunicazione ad altro ente deve avvenire con modalità di trasmissione sicure, e l’applicazione di misure tecniche organizzative adeguate in riferimento all’art.32 del GDPR. Eventualmente con tecniche di cifratura, ad es. una PEC con allegato criptato con una password, la password per aprire l’allegato sarà comunicata in una differente email.
Ogni ente dovuto applicare entro il 31 dicembre 2017 le regole tecniche, dette “misure minime” dell’AGID, che in parte contengono le misure tecniche organizzative che deve mettere in atto il comune.
In ogni caso è corretto che le comunicazioni fra Enti devono avvenire sempre a fronte di una disposizione di legge.
6 – Quesito
Quali adempimenti devono essere eseguiti nel caso in cui l’ente volesse intraprendere il servizio denominato “Pedibus”?
Risposta
Per avviare il servizio è necessario valutare con attenzione se sussistono richieste di informazioni che potrebbero non rispettare il principio di necessità, ovvero secondo l’art. 5 par1 lettera c) del GDPR i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)”.
Per organizzare il servizio Pedibus occorre che il comune richieda i soli dati necessari a “progettare” ed “erogare” il servizio stesso.
Occorre capire quale “base giuridica” – norma di legge – attribuire a questi trattamenti dati, in quale settore rientra il servizio? Per capire possiamo ragionare su quale capitolo di spesa pagate il fornitore esterno?
In ogni caso, in linea generale, gli adempimenti da porre in essere sono:
– L’informativa specifica (eventualmente breve) che suggeriamo di riportare a tergo del modulo ove vengono raccolti i dati per l’adesione al servizio;
– nomina ad incaricato o integrazione della nomina ad incaricato al personale del comune che utilizzerà il servizio
– nomina a responsabile del trattamento al/ai fornitore di servizi compresa la nomina ad ADS
– inserimento nel registro del specifico trattamento dati.
Occorre ricordare altresì che i dati acquisiti per questo servizio non potranno essere riutilizzati dal fornitore di servizi per altre finalità (es. marketing, e(o profilazione).
7 – Quesito
Nel caso in cui il Comune volesse installare delle telecamere lungo il perimetro della piattaforma ecologica al fine di identificare eventuali soggetti che abbandonano arbitrariamente rifiuti al di fuori della recinzione. Nel caso in cui da un lato sia prospicente una strada comunale, si chiede se le telecamere possano essere liberamente installate oppure se sia necessario dotarsi preventivamente di qualche autorizzazione e quali accorgimenti in tema di privacy debbano essere adottati.
Risposta
In via generale il Comune può installare telecamere ed acquisire informazioni con la finalità di repressione dell’abbandono dei rifiuti, sia per l’applicazione di sanzioni amministrative che penali, le riprese possono essere fatte in tutte le aree di pertinenza comunale. L’affissione dei cartelli di videosorveglianza è consigliata dal Garante della Privacy, ma il comune può decidere in autonomia, (meglio se motivando con un documento interno), di non installare i cartelli in alcune aree.
Importante è avere redatto il regolamento sulla videosorveglianza.
8 – Quesito
E’ necessario predisporre un’informativa per la gestione di istanze e pratiche quali domande per richiesta di prestazioni sociali/sociosanitarie/giuridiche?
Risposta
In linea generale:
1) La pubblica amministrazione non è tenuta alla richiesta del consenso da parte degli utenti a cui effettua servizi istituzionali previsti dalla normativa vigente, pertanto si può semplificare ed eliminare il consenso, l’informativa è sufficiente che sia pubblicata, ed esposta presso gli uffici ove vengono raccolti i dati.
2) Il soggetto preposto a rispondere per l’esercizio dei diritti degli interessati in primis è il Titolare del trattamento (art. 15 GDPR), qualora insorgano problematiche allora può essere coinvolto il DPO (responsabile della protezione dei dati), pertanto l’indicazione dei contatti per l’inoltro dell’istanza di accesso ai dati deve essere del comune e non del DPO, mentre i dati di contatto del DPO devono essere comunque indicati.
9 – Quesito
Cosa si deve riportare nel testo dell’ordinanza che il Comune intende pubblicare ove sono presenti dei dati relativi al soggetto destinatario del provvedimento se il soggetto ingiunto è una ditta individuale la cui sede legale coincide con l’indirizzo di residenza del titolare? Inoltre nell’ordinanza si fa riferimento ad una notizia di reato a carico del titolare della ditta.
Risposta
Quando l’ordinanza contiene l’applicazione di una sanzione di tipo penale, che rientra nei dati di tipo giudiziari occorre porre molta attenzione, in quanto occorre verificare se esiste una legge per cui specificatamente tale atto, e/o i dati personali del contravventore debbano essere pubblicati, e se sia indispensabile la pubblicazione del nome e cognome della persona per raggiungere le finalità di trasparenza. Normalmente la finalità di trasparenza, a meno che non esistano leggi specifiche per la pubblicazione, prevede di raggiungere l’obiettivo di rendicontazione delle attività della Pubblica Amministrazione, e come vengono spesi i “soldi pubblici”. La soluzione, qualora non vi sia una legge specifica che prevede la pubblicazione del nome del contravventore, è di pubblicare l’atto con gli elementi identificativi diretti ed indiretti del contravventore illeggibili. Si consiglia di inserire alcuni “omissis” per non identificare il soggetto e non pubblicherei l’indirizzo, e inserirei nella descrizione che l’ordinanza n.xxx è disponibile in versione integrale.
Per tali dubbi si vedano linee guida del Garante della Privacy del 2014 che aiutano ad interpretare il D.Lgs. 33/2013, ed in particolare vedere il diagramma di flusso decisionale della pagina 16,
10 – Quesito
Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali?
Risposta
Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono particolari (ossia idonei a rivelare ad esempio l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.”
11 – Quesito
Il Responsabile della Protezione dei dati come indicato dalla DGR 865/2018 (pagina 6 dell’allegato B), deve controfirmare le informative?
Risposta
Il soggetto delegato al trattamento dei dati non è il Responsabile della protezione dei dati personali, ma eventualmente una persona interna delegata dal sindaco, se questo soggetto non è stato delegato allora non si indica nulla.
La firma del responsabile della protezione dei dati sulle informative, che risulta non conforme al GDPR, di fatto il responsabile della protezione dei dati (DPO) è una figura preposta alla verifica, controllo, etc. Ma non all’operatività nella raccolta dei dati.
12 – Quesito
Entro quale termine ultimo il regolamento va approvato?
Risposta
Non sono disciplinati i tempi di pubblicazione del regolamento. Ricordiamo invece che gli adempimenti previsti dal Gdpr dal 25 maggio 2018 sono pienamente attuativi. Nel nostro Paese il quadro di riferimento normativo è diventato definitivo dal 19 settembre 2018 con l’introduzione del D.Lgs n. 101/2018 che ha modificato il Codice Privacy, D.Lgs n. 196/03.
Consigliamo di procedere con gli adempimenti e far approvare il regolamento in consiglio alla prima data utile.
13 – Quesito
Il Manuale del Sistema di gestione della protezione dei dati personali che potrebbe essere adottato dal Comune di xxx, con relativa delibera di Giunta Comunale può essere spunto in riferimento al principio di responsabilizzazione, nonché all’art. 24 del GDPR. Può essere un buon inizio per costruire un Sistema di Gestione di Processo per una futura certificazione ai sensi dell’art. 42 del GDPR?
Risposta
Riguardo agli schemi di certificazione, il riferimento di schema italiano è la ISDP 10003:2018 schema redatto dall’Ente di certificazione INVEO, già ritenuto compliance da ACCREDIA.
Occorre tenere conto di alcune considerazioni:
– Tutto quanto viene citato nel manuale va implementato, ivi comprese le procedure e le istruzioni operative;
– E’ un percorso abbastanza complesso e con tempistiche non immediate;
– Inserirei un capitolo per la calendarizzazione/priorità di sviluppo delle procedure al fine di ottemperare agli adempimenti principali quali (nomina a responsabile, incaricati, valutazione dei rischi, valutazione di impatto, procedura data breach)
14 – Quesito
Una scuola paritaria che ha sede nel nostro Comune, chiede l’elenco dei bambini di età 2-5 anni per poter programmare/promuovere la sua offerta formativa rivolta ai bambini di età 2-5 anni. Possiamo rilasciare gli elenchi richiesti?
Risposta
I dati dall’anagrafe comunale non possono essere estratti e comunicati a terzi per finalità promozionali di terzi (in questo caso la scuola). Il Comune è uno dei soggetti responsabili dell’obbligo di formazione, (così come disciplinato dalla normativa vigente, non ultimo il Decreto Legislativo 15 aprile 2005, n. 76 “Definizione delle norme generali sul diritto-dovere all’istruzione e alla formazione, a norma dell’articolo 2, comma 1, lettera c), della legge 28 marzo 2003, n. 53” pubblicato nella Gazzetta Ufficiale n. 103 del 5 maggio 2005). Questo non giustifica la comunicazione dei dati della popolazione residente (nella fattispecie dati di minori) a terzi soggetti per finalità di promozione delle iscrizioni scolastiche. Le scuole hanno la possibilità di organizzare autonomamente eventi per l’orientamento e la presentazione dei servizi formativi.
Per disciplinare l’anagrafe degli studenti è stata istituita l’ANS ovvero l’Anagrafe Nazionale degli Studenti, Il DM 692 del 25_9_2017 riordina in un unico provvedimento la normativa di carattere secondario adottata nel tempo per la gestione dell’Anagrafe.
15 – Quesito
Gli elenchi dei residenti non possono essere trasmessi alle istituzioni scolastiche per fini pubblicitari. Questo vale per le scuole pubbliche e quelle private?
Risposta
La regola generale da tenere conto per la comunicazione a terzi di dati il cui Titolare del trattamento è la pubblica amministrazione consiste nella verifica dell’esistenza di una specifica norma di legge o regolamento che lo preveda. Appurato che nella normativa vigente non vi sono riferimenti in tal senso, l’altra ulteriore considerazione è sulla finalità e base giuridica (art. 6 del Reg. UE 2016/679), che nella fattispecie può solamente essere per “esecuzione di un compito di rilevante interesse pubblico”. Nello specifico il Comune è quel soggetto unicamente reputato a verificare gli obblighi di frequenza ed iscrizione da parte dei minori alla scuola dell’obbligo, ricevendo i dati degli iscritti dalle scuole.
Il processo inverso non è invece previsto dalla normativa, ovvero non è possibile che il comune comunichi alla scuola i dati dei residenti e la scuola li chiami o ne faccia oggetto di promozione.
L’attività di promozione per l’iscrizione alla scuola è un attività propria degli istituti scolastici (pubblici e privati – equiparati), e deve essere svolta con canali tradizionali di pubblicità, quali ad esempio previsione di giornate di orientamento… Riferimenti di legge – D.Lgs. 196/2003 così come modificato dal D.Lgs. 101/2018
Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) comma 3
“La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1” (ovvero se previsto dalla legge); e all’art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) comma 1 “trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonche’ le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”. E art 2-sexies comma 2 lettera aa).
16 – Quesito
Un ente pubblico può rilasciare le liste elettorali a chiunque ne faccia richiesta?
Risposta
Il rilascio di copie delle liste elettorali è consentito nei limiti di cui all’articolo 51 del D.P.R. n. 223/1967, nel testo modificato nel 2003. Con l’avvenuta abrogazione dell’articolo 177 del Codice della Privacy di cui al Decreto legislativo del 2003, da parte del decreto correttivo, D.Lgs. n. 101/2018, è sorta la problematica relativa alla vigenza o meno dell’articolo 51 del D.P.R. n. 223/1967, che disciplina il rilascio di copie delle liste elettorali dei comuni. Nello specifico, la versione originaria dell’articolo 51 consentiva a chiunque di copiare, stampare o mettere in vendita le liste elettorali del comune. Il Codice della privacy di cui al D.Lgs. n. 196/2003 ha modificato l’articolo 51 restringendo la possibilità di avere le liste nel senso che esse potevano essere rilasciate in copia solo per determinate finalità. In materia è intervenuto i l testo del Codice della privacy modificato dal D.Lgs. n. 101, entrato in vigore il 19 settembre 2018, che ha abrogato l’articolo 177, la norma che in precedenza aveva modificato l’articolo 51 del D.P.R. n. 223/1967. Da qui, il quesito se l’ abrogazione dell’ articolo 177 significhi abrogazione della versione dell’ articolo 51 come modificata dall’ articolo 177 medesimo. Una soluzione alla questione si potrebbe rinvenire i n base ai principi in materia di redazione dei testi legislativi, per cui si può ritenere che l’abrogazione dell’articolo 177 del Codice privacy non abbia cancellato il regime di conoscibilità delle liste risultante dall’ultima versione dell’articolo, ovvero quella modificata nel 2003. Pertanto, è ancora vigente la norma sull’accesso alle liste elettorali dei comuni solo per specifiche finalità. Del resto, la possibilità di reviviscenza del testo originario dell’articolo 51 implicherebbe una diffusione indiscriminata di dati contenuti nelle liste, non rispettando i principi generali a tutela della privacy ad oggi in vigore. In conclusione, i l comune, nell’applicazione dell’articolo 51 del D.P.R. n. 223/1967, deve confrontare attentamente le finalità indicate dallo stesso con gli scopi dichiarati dal richiedente le copie. Si precisa che è stato pubblicato dal Garante un Provvedimento in materia di propaganda elettorale e comunicazione politica – 18 aprile 2019
17 – Quesito
Come deve procedere l’ente per la gestione di convenzioni per la fruibilità dei database dello stesso?
Risposta
Al fine di definire come procedere, si possono utilizzare le Linee Guida Agid, in base alle quali l’Amministrazione deve fornire le credenziali di accesso e se del caso individuare un supervisore. Si riporta il link https://www.agid.gov.it/sites/default/files/repository_files/linee_guida/linee_guida_convenzioni_fruibilita_dati_delle_pa_art_58_cad_0.pdf
18 – Quesito
In linea generale quali adempimenti spettano agli enti relativamente alla pubblicazione di atti sul sito web?
Risposta
Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto. Se sono particolari (ossia idonei a rivelare, ad es., l’origine razziale od etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.
Prima di procedere alla pubblicazione sul proprio sito web è necessario:
In ogni caso è vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici. Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini. Le linee guida del Garante del 2014, pubblicate su questo portale, si occupano nello specifico di determinati obblighi di pubblicazione:
Riguardo gli atti di concessione di benefici economici a determinate categorie di soggetti non possono essere pubblicati:
Si ricorda che, una volta trascorso il periodo temporale previsto dalle singole discipline per la pubblicazione degli atti e documenti nell’albo pretorio, gli enti locali non possono continuare a diffondere i dati personali in essi contenuti. In caso contrario, si determinerebbe, per il periodo eccedente la durata prevista dalla normativa di riferimento, una diffusione dei dati personali illecita perché non supportata da idonei presupposti normativi.
Pertanto, se gli enti locali vogliono continuare a mantenere nel proprio sito web istituzionale gli atti ed i documenti pubblicati, ad esempio nelle sezioni dedicate agli archivi degli atti e/o della normativa dell’ente, devono apportare gli opportuni accorgimenti per la tutela dei dati personali.
In questi casi, quindi, è necessario provvedere ad oscurare nella documentazione pubblicata i dati e le informazioni idonei ad identificare, anche in maniera indiretta, i soggetti interessati.
19 – Quesito
Come deve procedere un ente per la pubblicazione sul proprio sito web di una graduatoria (comprensiva di nomi, punteggi e idoneità) per una selezione pubblica di personale?
Risposta
L’ordinamento prevede particolari forme di pubblicità per gli esiti delle prove concorsuali e delle graduatorie finali di concorsi e selezioni pubbliche (es. affissione presso la sede degli esami, pubblicazione nel bollettino dell’amministrazione interessata).
Tale regime di conoscibilità assolve principalmente alla funzione di rendere note le decisioni adottate dalla commissione esaminatrice e dall’ente pubblico procedente anche per consentire il controllo sulla regolarità delle procedure concorsuali o selettive da parte dei soggetti interessati. Le previsioni normative che disciplinano la pubblicazione di graduatorie, esiti e giudizi concorsuali prevedono espressamente la diffusione dei relativi dati personali, anche mediante l’utilizzo del sito istituzionale dell’amministrazione di riferimento.
Al riguardo, il Garante indica come appropriate modalità di diffusione che consentono agli interessati di conoscere i dati personali consultando il sito istituzionale dell’amministrazione competente, evitando nel contempo che i medesimi dati siano liberamente reperibili utilizzando i comuni motori di ricerca esterni
È, invece, possibile consentire ai partecipanti alla procedura concorsuale di accedere ad aree del sito istituzionale nelle quali possono essere riportate anche eventuali ulteriori informazioni rese disponibili ai soli aventi diritto sulla base della normativa in materia di accesso ai documenti amministrativi (elaborati, verbali, valutazioni, documentazione relativa a titoli anche di precedenza o preferenza, pubblicazioni, curricula, ecc.), attribuendo agli stessi credenziali di autenticazione (es. username o password, n. di protocollo o altri estremi identificativi forniti dall’ente agli aventi diritto).
Devono ritenersi certamente pertinenti ai fini della pubblicazione on line gli elenchi nominativi ai quali vengano abbinati i risultati di prove intermedie, gli elenchi di ammessi a prove scritte o orali, i punteggi riferiti a singoli argomenti di esame, i punteggi totali ottenuti.
Appare invece eccedente la pubblicazione di dati concernenti il recapito di telefonia fissa o mobile, l’indirizzo dell’abitazione o dell’e-mail, i titoli di studio, il codice fiscale, l’indicatore Isee, il numero di figli disabili, i risultati di test psicoattitudinali.
20 – Rapporti formali, convenzioni e precise regole di sicurezza a tutela della privacy e dei principi di proporzionalità e necessità per l’accesso da parte delle forze di Polizia di Stato alla banca dati locale generata dai sistemi automatici provinciali di controllo del traffico
Risposta
L’accesso da parte delle forze di polizia dello stato ai dati acquisiti dalla polizia locale con le telecamere di lettura targhe e gli autovelox non può essere giustificato solo con generici motivi di sicurezza. Servono sempre rapporti formali, convenzioni e precise regole di sicurezza a tutela della privacy e dei principi di proporzionalità e necessità. Lo ha chiarito il garante della privacy con *l’inedito parere n. 13588/2019* inviato alla provincia di Brescia.
Alcune forze di polizia dello stato hanno richiesto alla provincia di Brescia l’accesso, per motivi di sicurezza e di controllo del territorio, alla banca dati locale generata dai sistemi automatici provinciali di controllo del traffico. La provincia ha tentato di formalizzare l’accesso richiedendo poi il nulla osta al garante ai sensi dell’art. 2-ter del codice privacy.
A parere dell’autorità centrale il trattamento dei dati personali per finalità di polizia non ricade nella previsione del regolamento Ue 2016/679 e nel correlato codice privacy ma nella disciplina speciale introdotta dal dlgs 51/2018 che ha recepito nell’ordinamento la direttiva Ue 2016/680. Anche l’acquisizione dei dati da parte delle forze di polizia deve avvenire in ogni caso in conformità alle disposizioni normative, specifica il parere. E se si tratta di dati acquisiti da soggetti terzi occorre che il titolare sia autorizzato a trattarli per le stesse finalità di polizia.
Nel caso sottoposto all’attenzione del garante la provincia stava elaborando dati per finalità amministrative di controllo stradale. Quindi su un piano diverso da quello previsto per la videosorveglianza urbana integrata disciplinata dalla direttiva 680.
In ogni caso, conclude il garante, l’utilizzo per finalità di polizia «di un dato acquisito ad altro fine da parte di una p.a. costituisce una forte interferenza con il diritto alla vita privata» e quindi deve rispettare i principi di necessità e proporzionalità. In particolare nel caso di accesso telematico massivo interforze è quindi sempre necessario regolare formalmente i rapporti tra i diversi titolari del trattamento prevedendo procedure di sicurezza e convenzioni ad hoc, con tanto di eventuali accordi di contitolarità.
21 – La posta in entrata pervenuta al Protocollo generale è visionabile da tutti i dipendenti comunali muniti di credenziali per l’accesso?
Risposta
No, il sistema informatico in questo caso è impostato in modo erroneo. Sarebbe opportuno che la visibilità degli atti in entrata fosse consentita solo ad un numero limitato di persone quali, ad esempio, il Sindaco, il Segretario generale ed il responsabile dell’ufficio protocollo ed i relativi addetti. Ogni sistema di gestione e di conservazione dei documenti digitali deve basarsi sul principio della sicurezza dei dati e del trattamento delle informazioni personali. In questa ottica, il protocollo informatico può essere considerato un valido strumento di garanzia della privacy. Infatti in esso sono descritte le tecnologie e le prassi, sono individuati i responsabili e le misure adeguate a tutelare il sistema di conservazione e di gestione dei documenti digitali da eventuali minacce endogene ed esogene. La P.A. può protocollare la documentazione in un’ottica di trasparenza dell’azione amministrativa, di miglioramento dei servizi nonché di contenimento dei costi. Negli ultimi anni sono state introdotte regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale o su supporti ottici, dei documenti informatici. Ad una attenta osservazione, il sistema di protocollazione presenta indubbiamente il vantaggio di certificare la provenienza e la data di acquisizione dei documenti, identificandoli in maniera univoca ed assicura, tra le altre cose, l´univoca identificazione ed autenticazione degli utenti, la protezione delle informazioni relative a ciascun utente nei confronti degli altri e la registrazione delle attività rilevanti, ai fini della sicurezza, svolte da ciascun utente; in particolare, il sistema deve consentire il controllo differenziato dell´accesso nonché il tracciamento di qualsiasi evento di modifica delle informazioni. Una semplice valutazione delle misure di sicurezza previste per implementare la gestione del protocollo informatico presenta una spiccata simmetria con le misure minime di sicurezza previste in materia di privacy. Infatti, sono comuni l’autenticazione, l’autorizzazione, il backup, la continuità del servizio, oltre alla registrazione delle attività svolte. L’incuria o l’imperizia nell’ideazione e nell’attuazione del protocollo informatico per la gestione e la conservazione dei documenti può rivelarsi un serio rischio di violazione della normativa sul trattamento dei dati personali con conseguenti sanzioni.
22 – Il consigliere comunale può accedere al protocollo informatico?
Risposta
L’art.43, comma 2, del T.U.E.L. prevede che i consiglieri comunali hanno diritto di ottenere dagli Uffici tutte le notizie e le informazioni in loro possesso, utili all’espletamento del proprio mandato e, al contempo, sono tenuti al segreto nei casi specificamente previsti dalla legge.
La giurisprudenza amministrativa( recentemente Tar Sardegna sez. I del 4 aprile 2019 n. 317) ritiene che l’accesso alle informazioni possa avvenire anche tramite l’accesso al protocollo informatico ed ai programmi in uso presso il comune, attraverso il rilascio di proprie credenziali e relativa password, in modalità di sola consultazione.
Tale possibilità non riguarda l’accesso diretto al contenuto degli atti in arrivo o in uscita, ma ai dati di sintesi ricavabili dalla consultazione telematica del protocollo.
23 – Può essere rilasciato al consigliere comunale l’elenco nominativo dei soggetti morosi verso il Comune, con l’indicazione delle somme dovute e dello stato aggiornato della situazione debitoria?
Risposta
Il “diritto di accesso” dei consiglieri comunali in ordine agli atti in possesso dell’Amministrazione comunale trova la sua disciplina specifica nell’art. 43 del decreto legislativo n. 267/00 e non può essere soggetto ad alcun onere motivazionale perché in tal caso sarebbe introdotta una sorta di controllo dell’ente, attraverso i propri uffici, sull’esercizio del mandato del consigliere comunale (V. Commissione per l’accesso ai documenti amministrativi – parere in data 9 aprile 2014).
Nello specifico, il termine “utili”, contenuto nell’articolo 43 del citato decreto legislativo n. 267/00, assicura che tale diritto sia esteso a qualsiasi atto considerato di utilità all’esercizio del mandato senza limitazione alcuna derivante dalla natura riservata delle informazioni richieste. In considerazione del fatto che il consigliere è vincolato al segreto d’ufficio, la suddetta Commissione sia con il richiamato parere del 9 aprile 2014, sia con il precedente plenum datato 6 aprile 2011, ha ritenuto che gli unici limiti all’esercizio del diritto di accesso dei consiglieri comunali si rinvengono, per un verso, nel fatto che esso non deve consistere in richieste assolutamente generiche, ovvero meramente emulative, e per altro verso, nel fatto che esso debba avvenire con il minor aggravio possibile per il comune.
Tuttavia, l’Ente, a tutela proprio degli utenti, può predisporre elenchi in cui vengano riportati i soli dati necessari all’individuazione dei soggetti interessati e l’esercizio finanziario relativo al debito. Infatti non è giustificato diffondere ulteriori dati non pertinenti, quali l’indirizzo di abitazione, il codice fiscale, coordinate bancarie ovvero informazioni che descrivano condizioni di indigenza in cui versi l’interessato.
24 – Se la documentazione della quale è chiesta l’ostensione non riguarda un atto prodotto nell’esercizio delle competenze proprie dell’Amministrazione comunale, bensì una documentazione proveniente ad es. dalla Procura della Corte dei Conti afferente ad un’indagine promossa dalla stessa Procura, alla richiesta di accesso del consigliere comunale si applica la disciplina prevista dall’art. 43 TUEL?
Risposta
In primo luogo non appare sufficiente rivestire la carica di consigliere comunale per essere legittimati sic et simpliciter all’accesso, ma occorre dare atto che l’istanza muova da un’effettiva esigenza collegata all’esame di questioni proprie dell’Assemblea consiliare.
Inoltre, è doveroso precisare che il diritto di accesso (anche nelle sue forme di diritto all’informazione) va riferito ai documenti amministrativi e tali non possono essere considerati gli atti di natura processuale o, comunque, relativi ad un procedimento che si svolge o si sia svolto innanzi a un’Autorità giudiziaria, «con riferimento alle possibili sovrapposizioni con l’esercizio dell’attività giudiziaria, occorre chiarire che l’accesso generalizzato riguarda, atti, dati e informazioni che siano riconducibili a un’attività amministrativa, in senso oggettivo e funzionale. Esulano, pertanto, dall’accesso generalizzato gli atti giudiziari, cioè gli atti processuali o quelli che siano espressione della funzione giurisdizionale, ancorché non immediatamente collegati a provvedimenti che siano espressione dello “ius dicere”, purché intimamente e strumentalmente connessi a questi ultimi» (Linee Guida ANAC n. 1309/2016, c.d. FOIA, par. 7.6.).
Il Gruppo di lavoro sui Comuni, istituito il 18 luglio 2002 con decreto del Direttore generale per gli archivi e incaricato di formulare «proposte e modelli per la riorganizzazione dell’archivio dei Comuni», nasce anche sulla scia delle riflessioni suscitate dal convegno Labirinti di carta. L’archivio comunale, organizzazione e gestione della documentazione a 100 anni dalla Circolare Astengo, che si tenne a Modena nel 1998 e che vide una presenza notevole di archivisti di Stato e di archivisti degli enti pubblici intenti a dibattere, a distanza di cento anni, sull’attualità della circolare del prefetto Astengo, che dettava criteri di organizzazione delle carte negli archivi dei Comuni. Quel sistema, imposto dal Ministro dell’interno a tutti i Comuni d’Italia, fu usato per più di cento anni e ancora oggi è in uso e ha svolto un ruolo molto importante nella corretta costituzione e conservazione degli archivi comunali. Dal dibattito che si è sviluppato a partire dall’incontro modenese, è emersa con evidente chiarezza la necessità di porre mano a quel titolario, non più rispondente alle mutate condizioni della realtà comunale di oggi.
La legislazione di riforma dell’assetto istituzionale ha conferito ai Comuni competenze sempre più articolate e un alto grado di autonomia. Allo stesso tempo, le norme sulla trasparenza e l’efficacia ed efficienza dell’azione della pubblica amministrazione hanno sottolineato la grande importanza degli archivi, visti come protagonisti della vita amministrativa e perno intorno al quale ruota l’ammodernamento dell’apparato burocratico. Il legislatore, cioè, dettando le modalità e i criteri di produzione, comunicazione e conservazione della documentazione, ha riconosciuto il ruolo centrale e determinante che l’archivio riveste nell’organizzazione delle pubbliche amministrazioni per il raggiungimento dei propri fini istituzionali, ponendo sul tappeto esigenze, per far fronte alle quali occorre un profondo ripensamento, se non della filosofia, dell’architettura del “sistema archivio”.
L’amministrazione archivistica, continuando nell’opera da tempo intrapresa, che rientra a pieno titolo nelle funzioni di sorveglianza sugli archivi delle amministrazioni statali e di vigilanza sugli archivi degli enti pubblici, ha intensificato l’attività di indirizzo e di sostegno delle amministrazioni pubbliche nella progettazione degli archivi correnti. In accordo, quindi, con i presupposti di legge e in particolare con il DPR 29 dicembre 2000, n° 441, si è costituito questo gruppo di lavoro, che si giova anche di un’attenta e puntuale opera di ricostruzione delle funzioni conferite dalla legislazione dell’ultimo decennio ai Comuni italiani, realizzata dalla professoressa Bonfiglio-Dosio, che ha proposto un nuovo modello di titolario, applicato in via sperimentale dal Comune di Cadòneghe (PD). La proposta ha costituito la base delle riflessioni del gruppo.
Già inviato a tutte le Soprintendenze archivistiche per la divulgazione presso i Comuni del territorio di competenza, il nuovo titolario, presentato in molte città italiane, è stato testato in diversi Comuni d’Italia e dalla sperimentazione sono venuti suggerimenti e integrazioni che hanno permesso di modellare e ritoccare alcuni elementi che hanno reso più adattabile lo strumento alle diverse realtà interessate.
Il gruppo di lavoro, che è stato in parte rinnovato nella sua composizione con proroga delle attività fino alla fine del 2006, ha proceduto in questi anni alla elaborazione di strumenti integrativi di indubbia utilità per gli operatori degli archivi comunali. Sono stati prodotti quindi i sotto elencati strumenti:
Il Gruppo di lavoro
ALLEGATI:
LINEE GUIDA PER UN MANUALE DI GESTIONE
Questo report è rivolto agli informatici, amministratori di sistema, programmatori, occorre per l’aggiornamento periodico sulle nuove minaccie al fine di configurare misure tecniche organizzative sempre al passo con la tecnologia e con la sicurezza dei sistemi.
Ti aspettiamo venerdì 5 Aprile 2019, per un convegno ad ingresso libero previa conferma di partecipazione.
Il parere dell’Autorità Garante per la protezione dei dati personali italiana sull’accesso civico: no all’accesso civico generalizzato su pratiche SCIA e CILA
Non è possibile accedere ai dati personali completi contenuti nei titoli abilitativi edilizi (SCIA e CILA) sulla base di una mera richiesta di accesso civico generalizzato. Lo ribadisce il Garante per la protezione dei dati personali nel parere fornito a un Comune dell’Emilia-Romagna in merito alla decisione di respingere parzialmente una richiesta di accesso civico alle Segnalazioni Certificate di Inizio Attività (SCIA) e alle Comunicazioni Inizio Attività Asseverata (CILA), presentata da una impresa privata.
La richiesta di copia completa delle pratiche edilizie era stata presentata una prima volta al Comune, che aveva però risposto fornendo solamente una sintesi con dati aggregati, depurati di quelli personali, al fine di non arrecare un possibile pregiudizio alla privacy delle persone interessate. L’impresa, supportata dal Difensore civico regionale dell’Emilia-Romagna, aveva contestato la decisione e chiesto il riesame della pratica. Il Garante privacy aveva invece sostenuto la correttezza della scelta dell’amministrazione cittadina. L’impresa aveva poi ripresentato la domanda, ma il Garante è nuovamente intervenuto sulla vicenda, anche al fine di evitare pericolosi precedenti che incoraggino possibili trattamenti illeciti di dati personali.
Nel proprio parere, l’Autorità ha innanzitutto chiarito che, diversamente da quanto indicato per altre pratiche edilizie, come i permessi a costruire, la normativa non prevede lo stesso regime di conoscibilità per la CILA e la SCIA, come per quelle utilizzate nel caso di opere di manutenzione straordinaria, di restauro o di risanamento conservativo.
Il Garante ha quindi sottolineato che la generale conoscenza delle informazioni riportate nelle SCIA e nelle CILA, considerando la quantità e qualità dei dati personali contenuti – come data e luogo di nascita, codici fiscali, residenza, e-mail, pec, numeri di telefono fisso e cellulare, documentazione tecnica sugli interventi – avrebbe potuto determinare un’interferenza ingiustificata e sproporzionata nei diritti e libertà dei soggetti controinteressati. Tutto ciò, in violazione anche del principio di minimizzazione previsto dal Regolamento europeo sulla privacy (Gdpr), con possibili ripercussioni negative sul piano relazionale, professionale, personale e sociale.
Nel corso dell’istruttoria, il Garante ha inoltre rilevato che l’impresa richiedente – che ha tra le sue attività quella di conduzione di campagne di marketing e web marketing, nonché la fornitura di servizi di gestione dei programmi di fidelizzazione e affiliazione commerciale – aveva presentato la stessa domanda in maniera sistematica, per più periodi, a diversi enti locali. L’accoglimento della richiesta di accesso civico avrebbe tra l’altro potuto esporre al pericolo di duplicazione di banche dati di soggetti pubblici da parte di soggetti privati, in assenza del consenso dei soggetti interessati o degli altri presupposti di liceità del trattamento.
L’Autorità, ha così confermato, anche alla luce della normativa e delle stesse linee guida Anac, la correttezza dell’operato del Comune, nel valutare l’esistenza di un possibile pregiudizio concreto alla protezione dei dati delle persone interessate – ad esempio i proprietari, gli usufruttuari e tecnici incaricati – e fornendo di conseguenza solo una sintesi delle pratiche richieste. Ha comunque rimarcato che tale decisione sull’ “accesso civico generalizzato” non impedisce di accedere ai documenti amministrativi completi a chi dimostri di avere un interesse qualificato.
fonte: www.garanteprivacy.it
Strutture sanitarie: rispetto della dignità – 9 novembre 2005
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttiva n. 95/46/CE), anche in relazione agli articoli 2, 10, 11 e 32 della Costituzione;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
CONSIDERATO:
1. Premessa
Sono pervenuti a questa Autorità reclami e segnalazioni con i quali si rappresenta che alcune strutture sanitarie, nell´erogare prestazioni e servizi per finalità di prevenzione, diagnosi, cura e riabilitazione, non rispetterebbero le garanzie previste dalla legge a tutela, in particolare, della dignità e della riservatezza delle persone interessate.
In materia di trattamento dei dati personali in ambito sanitario, il Codice prevede che gli organismi sanitari pubblici e privati adottino misure ed accorgimenti di carattere supplementare rispetto a quelle già previste per il trattamento dei dati sensibili e per il rispetto delle misure di sicurezza. In particolare, l´art. 83 individua alcune specifiche prescrizioni che devono tradursi anche in adeguate misure organizzative, ferma restando la necessità di adottare comunque tutti gli ulteriori accorgimenti che si rendessero opportuni per garantire il più ampio rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale.
Con il presente provvedimento, il Garante intende richiamare l´attenzione dei soggetti che operano in ambito sanitario in ordine alla necessità di adeguare il funzionamento e l´organizzazione delle strutture sanitarie alle previsioni stabilite dal Codice in materia di protezione di dati personali (art. 83). I medesimi soggetti sono altresì invitati ad adottare tutte le misure ritenute necessarie ed opportune, conformemente ai principi generali, per garantire il rispetto della dignità della persona e il massimo livello di tutela degli interessati in ambito sanitario.
2. Ambito di applicazione delle misure per il rispetto dei diritti degli interessati
Le misure organizzative in esame devono essere adottate per espresso obbligo di legge da tutti gli organismi sanitari, sia pubblici (es. aziende sanitarie territoriali, aziende ospedaliere), sia privati (es. case di cura).
Sono tenuti alla loro adozione anche i servizi e le strutture di soggetti pubblici operanti in ambito sanitario o aventi competenza in materia di prevenzione e sicurezza del lavoro (es. osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro).
I medici di medicina generale e i pediatri di libera scelta, nonché, deve ritenersi, anche i medici specialisti operanti in studi medici privati, non sono invece destinatari dell´obbligo di adottare dette misure, che riguardano l´organizzazione di strutture. I medesimi soggetti devono comunque ottemperare ai principi cui si ispirano le disposizioni in esame, predisponendo in ogni caso misure idonee a garantire il rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, secondo modalità adeguate a garantire un rapporto personale e fiduciario con gli assistiti (art. 83, comma 2-bis, del Codice).
3. Garanzie per l´interessato
Gli organismi sanitari pubblici e privati, in qualità di titolari del trattamento dei dati personali, devono garantire, in particolare, il rispetto dei seguenti princìpi:
a) dignità dell´interessato (art. 83, comma 2, lett. e) del Codice)
La prestazione medica e ogni operazione di trattamento dei dati personali deve avvenire nel pieno rispetto della dignità dell´interessato (artt. 2 e 83 del Codice).La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolare riguardo a fasce deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno.
Particolare riguardo deve essere prestato nel rispettare la dignità di pazienti sottoposti a trattamenti medici invasivi o nei cui confronti è comunque doverosa una particolare attenzione anche per effetto di specifici obblighi di legge o di regolamento o della normativa comunitaria (ad es., in riferimento a sieropositivi o affetti da infezione da Hiv –l. 5 giugno 1990, n. 135-, all´interruzione di gravidanza –l. 22 maggio 1978, n. 194- o a persone offese da atti di violenza sessuale -art. 734-bis del codice penale-).
Nei reparti di rianimazione dove si possono visitare i degenti solo attraverso vetrate o videoterminali devono essere adottati accorgimenti, anche provvisori (ad es., mediante paraventi), che delimitino la visibilità dell´interessato durante l´orario di visita ai soli familiari e conoscenti.
La necessità di rispettare la dignità è stata rappresentata a questa Autorità anche in relazione alle modalità di visita e di intervento sanitario effettuati nelle aziende ospedaliero-universitarie alla presenza di studenti autorizzati. Le strutture che intendono avvalersi di questa modalità devono indicare nell´informativa da fornire al paziente che (art. 13 del Codice), in occasione di alcune prestazioni sanitarie, si perseguono anche finalità didattiche, oltre che di cura e prevenzione (cfr. d.lg. n. 517/1999). Durante tali prestazioni devono essere adottate specifiche cautele volte a limitare l´eventuale disagio dei pazienti, anche in relazione al grado di invasività del trattamento circoscrivendo, ad esempio, il numero degli studenti presenti e rispettando eventuali legittime volontà contrarie.
b) riservatezza nei colloqui e nelle prestazioni sanitarie (art. 83, comma 2, lett. c) e d))
É doveroso adottare idonee cautele in relazione allo svolgimento di colloqui, specie con il personale sanitario (ad es. in occasione di prescrizioni o di certificazioni mediche), per evitare che in tali occasioni le informazioni sulla salute dell´interessato possano essere conosciute da terzi. Le medesime cautele vanno adottate nei casi di raccolta della documentazione di anamnesi, qualora avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate.Il rispetto di questa garanzia non ostacola la possibilità di utilizzare determinate aree per più prestazioni contemporanee, quando tale modalità risponde all´esigenza terapeutica di diminuire l´impatto psicologico dell´intervento medico (ad es., alcuni trattamenti sanitari effettuati nei confronti di minori).
c) notizie su prestazioni di pronto soccorso (art. 83, comma 2, lett. f))
L´organismo sanitario può dare notizia, anche per via telefonica, circa una prestazione di pronto soccorso, ovvero darne conferma a seguito di richiesta anche per via telefonica.La notizia o la conferma devono essere però fornite correttamente ai soli terzi legittimati, quali possono essere familiari, parenti o conviventi, valutate le diverse circostanze del caso.
Questo genere di informazioni riguarda solo la circostanza che è in atto o si è svolta una prestazione di pronto soccorso, e non attiene ad informazioni più dettagliate sullo stato di salute.
L´interessato -se cosciente e capace- deve essere preventivamente informato dall´organismo sanitario (ad es. in fase di accettazione), e posto in condizione di fornire indicazioni circa i soggetti che possono essere informati della prestazione di pronto soccorso. Occorre altresì rispettare eventuali sue indicazioni specifiche o contrarie.
Il personale incaricato deve accertare l´identità dei terzi legittimati a ricevere la predetta notizia o conferma, avvalendosi anche di elementi desunti dall´interessato.
d) dislocazione dei pazienti nei reparti (art. 83, comma 2, lett. g))
Il Codice incentiva le strutture sanitarie a prevedere, in conformità agli ordinamenti interni, le modalità per fornire informazioni ai terzi legittimati circa la dislocazione dei degenti nei reparti, allorché si debba ad esempio rispondere a richieste di familiari e parenti, conoscenti e personale del volontariato.L´interessato cosciente e capace deve essere, anche in questo caso, informato e posto in condizione (ad es. all´atto del ricovero) di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza. Occorre altresì rispettare l´eventuale sua richiesta che la presenza nella struttura sanitaria non sia resa nota neanche ai terzi legittimati (cfr. Carta dei servizi pubblici sanitari, dPCM 19 maggio 1995).
Come per le prestazioni di pronto soccorso, questo genere di informazioni riguarda la sola presenza nel reparto e non anche informazioni sullo stato di salute.
Possono essere fornite informazioni sullo stato di salute a soggetti diversi dall´interessato quando sia stato manifestato un consenso specifico e distinto al riguardo, consenso che può essere anche manifestato da parte di un altro soggetto legittimato, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell´interessato (art. 82).
e) distanza di cortesia (art. 83, comma 2, lett. b))
Le strutture sanitarie devono predisporre apposite distanze di cortesia in tutti i casi in cui si effettua il trattamento di dati sanitari (es. operazioni di sportello, acquisizione di informazioni sullo stato di salute), nel rispetto dei canoni di confidenzialità e della riservatezza dell´interessato.Vanno in questa prospettiva prefigurate appropriate soluzioni, sensibilizzando gli utenti con idonei inviti, segnali o cartelli.
f) ordine di precedenza e di chiamata (art. 83, comma 2, lett. a))
All´interno dei locali di strutture sanitarie, nell´erogare prestazioni sanitarie o espletando adempimenti amministrativi che richiedono un periodo di attesa (ad es., in caso di analisi cliniche), devono essere adottate soluzioni che prevedano un ordine di precedenza e di chiamata degli interessati che prescinda dalla loro individuazione nominativa (ad es., attribuendo loro un codice numerico o alfanumerico fornito al momento della prenotazione o dell´accettazione). Ovviamente, tale misura non deve essere applicata durante i colloqui tra l´interessato e il personale medico o amministrativo.Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell´interessato (ad es. in funzione di particolari caratteristiche del paziente anche legate ad uno stato di disabilità), possono essere utilizzati altri accorgimenti adeguati ed equivalenti (ad es., con un contatto diretto con il paziente).
Non risulta giustificata l´affissione di liste di pazienti nei locali destinati all´attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da erogare (es. liste di degenti che devono subire un intervento operatorio). Non devono essere, parimenti, resi facilmente visibili da terzi non legittimati i documenti riepilogativi di condizioni cliniche dell´interessato (es. cartelle infermieristiche poste in prossimità del letto di degenza) (artt. 22, comma 8, e 26, comma 5, del Codice).
g) correlazione fra paziente e reparto o struttura (art. 83, comma 2, lett. h))
Gli organismi sanitari devono mettere in atto specifiche procedure, anche di formazione del personale, per prevenire che soggetti estranei possano evincere in modo esplicito l´esistenza di uno stato di salute del paziente attraverso la semplice correlazione tra la sua identità e l´indicazione della struttura o del reparto presso cui si è recato o è stato ricoverato.Tali cautele devono essere orientate anche alle eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un´assenza dal lavoro o l´impossibilità di presentarsi ad una procedura concorsuale).
Analoghe garanzie devono essere adottate da tutti i titolari del trattamento, ivi comprese le farmacie, affinché nella spedizione di prodotti non siano indicati, sulla parte esterna del plico postale, informazioni idonee a rivelare l´esistenza di uno stato di salute dell´interessato (ad es., indicazione della tipologia del contenuto del plico o del reparto dell´organismo sanitario mittente).
h) regole di condotta per gli incaricati (art. 83, comma 2, lett. i)).
Il titolare del trattamento deve designare quali incaricati o, eventualmente, responsabili del trattamento i soggetti che possono accedere ai dati personali trattati nell´erogazione delle prestazioni e dei servizi per svolgere le attività di prevenzione, diagnosi, cura e riabilitazione, nonché quelle amministrative correlate (artt. 30 e 29 del Codice).Fermi restando, in quanto applicabili, gli obblighi in materia di segreto d´ufficio, deve essere previsto che, al pari del personale medico ed infermieristico, già tenuto al segreto professionale (art. 9 del codice di deontologia medica del 3 ottobre 1998; art. 4 del codice deontologico per gli infermieri del maggio del 1999), gli altri soggetti che non sono tenuti per legge al segreto professionale (ad es., personale tecnico e ausiliario) siano sottoposti a regole di condotta analoghe (cfr. anche art. 10 del codice di deontologia medica).
A tal fine, anche avvalendosi di iniziative di formazione del personale designato, occorre mettere in luce gli obblighi previsti dalla disciplina in materia di protezione dei dati personali con particolare riferimento all´adozione delle predette misure organizzative (artt. 30 e 35 del Codice e punto 19.6 del disciplinare tecnico allegato B) al Codice), evidenziando i rischi, soprattutto di accesso non autorizzato, che incombono sui dati idonei a rivelare lo stato di salute e le misure disponibili per prevenire effetti dannosi.
4. Comunicazione di dati all´interessato
Gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all´interessato informazioni sul suo stato di salute solo per il tramite di un medico (individuato dallo stesso interessato, oppure dal titolare del trattamento) o di un altro esercente le professioni sanitarie che, nello svolgimento dei propri compiti, intrattenga rapporti diretti con il paziente (ad es., un infermiere designato quale incaricato del trattamento ed autorizzato per iscritto dal titolare).
La necessità di rispettare queste modalità andrebbe menzionata nelle istruzioni impartite agli incaricati del trattamento (art. 84, comma 2, del Codice). Nel caso in cui l´interessato riceva una comunicazione dalla struttura sanitaria che documenti gli esiti di esami clinici effettuati, l´intermediazione può essere soddisfatta accompagnando un giudizio scritto con la disponibilità del medico a fornire ulteriori indicazioni a richiesta.
Il personale designato deve essere istruito debitamente anche in ordine alle modalità di consegna a terzi dei documenti contenenti dati idonei a rivelare lo stato di salute dell´interessato (es. referti diagnostici). In riferimento alle numerose segnalazioni pervenute, va rilevato che le certificazioni rilasciate dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirate anche da persone diverse dai diretti interessati, purché sulla base di una delega scritta e mediante la consegna delle stesse in busta chiusa.
5. Altri adempimenti da rispettare
I titolari del trattamento in ambito sanitario devono infine rispettare gli obblighi che attengono:
a) alla notificazione al Garante, dovuta nei soli casi di cui all´art. 37 del Codice (cfr. anche provvedimento del Garante n. 1/2004 del 31 marzo 2004 recante i casi da sottrarre all´obbligo di notificazione, pubblicato sulla G. U. n. 81 del 6 aprile 2004 e disponibile sul sito dell´Autorità www.garanteprivacy.it (doc. web n. 852561));
b) alla predisposizione dell´informativa da fornire agli interessati (art. 13 del Codice);
c) all´acquisizione del consenso per i trattamenti di dati personali connessi all´erogazione delle prestazioni e dei servizi per svolgere attività di prevenzione, diagnosi, cura e riabilitazione (artt. 22, 26 e 76 del Codice);
d) per gli organismi sanitari pubblici, al rispetto delle disposizioni contenute nel regolamento per il trattamento dei dati sensibili per finalità amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione adottato ai sensi dell´art. 20 del Codice (cfr. Provv. del 30 giugno 2005);
e) al rispetto delle autorizzazioni generali rilasciate dal Garante ed, in particolare, dell´autorizzazione generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (artt. 26 e 76 del Codice);
f) alle misure di sicurezza (artt. 31-36 del Codice e allegato B) al Codice).
TUTTO CIÒ PREMESSO, IL GARANTE:
Roma, 9 novembre 2005
Il Presidente
Pizzetti
Il Relatore
Pizzetti
Il Segretario generale
Buttarelli
di seguito l’articolo: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1191411
Una piccola soddisfazione deriva dall’odierna pubblicazione di un chiarimento dell’Autorità Garante Privacy italiana, che rispondendo ad un quesito ha dichiarato senza ombra di dubbio che i consulenti del lavoro devono essere considerati responsabili del trattamento ex art. 28 del GDPR. Questa posizione è sempre stata sostenuta dallo Studio Paci, anche a fronte delle diverse indicazioni delle associazioni nazionali.
Precisazioni del Garante privacy dopo il nuovo Regolamento UE
Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.
Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha infatti chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.
E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.
Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.
Il Garante ha chiarito infine che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.
di seguito l’articolo:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9080970
