Nuovo intervento del Garante privacy con la nota di newsletter n. 412 del 29 febbraio 2016. Vietata la pubblicazione di dati sanitari di centinaia di persone. Stop del Garante privacy alla pubblicazione delle graduatorie di concorsi riservati ai disabili sui siti istituzionali di alcune Province e una Regione. I nominativi di centinaia di persone disabili, spesso associati a data e luogo di nascita, risultavano immediatamente visibili in rete tramite l'inserimento delle rispettive generalità nei più diffusi motori di ricerca.
Nei documenti erano riportati in chiaro anche informazioni ritenute eccedenti o non pertinenti (come il reddito, la percentuale di invalidità civile, il punteggio derivante dall'anzianità, il numero di familiari a carico).
Il Garante ha dichiarato illeciti i trattamenti di dati effettuati dagli enti territoriali perché non conformi al Codice privacy che non consente la diffusione di informazioni sulla salute, tanto più on line. Oltre al provvedimento di divieto, il Garante ha prescritto alle Province interessate e alla Regione di mettersi in regola per il futuro con la pubblicazione di atti e documenti on line. Gli enti dovranno attenersi alle disposizioni della normativa e delle Linee guida in materia di trasparenza emanate dall'Autorità, adottando ogni cautela per evitare, in particolare, la diffusione di dati sanitari.
L'Autorità, inoltre, si è riservata di valutare, con separato provvedimento, gli estremi per contestare alle P.a. la violazione amministrativa prevista per l'infrazione del Codice. I casi attuali si aggiungono a numerosi episodi analoghi per i quali l'Autorità è dovuta intervenire a tutela della riservatezza vietando la pubblicazione dei dati sensibili.
A settembre dello scorso anno, il presidente del Garante per la protezione dei dati personali, Antonello Soro, ha scritto al presidente della Conferenza delle Regioni e delle Province autonome, Sergio Chiamparino, per richiamare l'attenzione della Conferenza sulla preoccupante prassi di pubblicare sui siti web degli enti pubblici atti e documenti contenenti dati personali estremamente delicati come quelli riferiti alla salute, in particolare alla disabilità.
Il Garante ha chiesto, inoltre, di valutare la possibilità di assumere specifiche iniziative affinché i trattamenti di dati effettuati da soggetti pubblici siano sempre rispettosi delle norme previste in materia di tutela della riservatezza.
Fonte: garanteprivacy.it
Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) - che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria 95/46/CE - e oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196).
PER SAPERE DI PIU'
Handicap e legge sulla privacy - Partecipazione - Diritti del cittadino
Fondazione Italiana per il Volontariato
1. La L. n. 104/92 - art. 12, comma 5 - impone ai genitori degli alunni disabili l’onere di produrre all’amministrazione scolastica l’attestazione di persona in situazione di handicap se intendono fruire dei benefici normativi connessi al processo d’integrazione.
1. La L. n. 104/92 - art. 12, comma 5 - impone ai genitori degli alunni disabili l’onere di produrre all’amministrazione scolastica l’attestazione di persona in situazione di handicap se intendono fruire dei benefici normativi connessi al processo d’integrazione.
2. Il DPR 24/2/1994 ha regolato le procedure riguardanti l’acquisizione da parte della scuola di tale attestazione e della conseguente diagnosi funzionale.
3. Le Circolari ministeriali nn. 262/88 e 363/94 dettano disposizioni circa gli adempimenti dei genitori e dell’amministrazione scolastica relative all’iscrizione degli alunni in situazione di handicap.
4. La L. n. 675/97 regola in modo rigido le seguenti operazioni:
- autorizzazione del Garante al trattamento, comunicazione e diffusione dei dati personali;
- comunicazione all’interessato circa il trattamento, la comunicazione e la diffusione dei dati personali, dei dati sensibili e di quelli particolarmente sensibili;
- acquisizione del consenso "informato" da parte del responsabile del trattamento.
Questi gli antefatti; oggi per l’amministrazione scolastica, ed in particolare per i capi d’istituto e i provveditori agli studi, si pongono problemi delicati di possibile responsabilità civile e di sanzioni amministrative, in quanto, essendo essi "responsabili del trattamento e della comunicazione" (da scuola a provveditorato, da scuola ad altra scuola) e della "diffusione" (iscrizione in registri scolastici, pubblicazione di quadri con i risultati degli scrutini), possono incorrere in involontarie violazioni della L. n. 675/97.
Il Garante ha emanato un decreto recante l’autorizzazione generale alle ASL per il trattamento dei dati personali dei pazienti, confermando però l’obbligo a "richiedere per iscritto il consenso informato scritto dell’interessato".
Tale autorizzazione generale non riguarda però l’autorità scolastica, che, secondo la legge, dovrebbe richiederla, caso per caso, al Garante, a meno che questi non emani al riguardo un’autorizzazione "generale". Rimarrebbe comunque il problema di come informare tutti gli interessati e di come raccogliere il loro consenso circa i dati personali, quelli sensibili (minorazioni, disabilità ed handicap) e quelli "particolarmente sensibili" (malattie genetiche).
Segnaliamo questa situazione di fatto - che può in qualche modo incrociarsi con l’attività di alcuni organismi di volontariato - per dire che il Ministero della pubblica istruzione dovrebbe forse ottenere dal Governo un decreto legislativo di esenzione o di chiarificazione, simile a quello già emanato a favore del Ministero delle finanze e dei sostituti di imposta.
Assumiamo l’impegno di dare notizia di ogni futura iniziativa diretta a risolvere il problema.
Nuovo decreto sulla privacy
Il Governo ha emanato il decreto legislativo 11.05.1999 n. 135 (G.U. n. 113/1999) sul trattamento dei dati sensibili (salute, opinioni filosofiche o religiose, abitudini sessuali) da parte di soggetti pubblici. Le operazioni relative ai dati, individuate dal decreto nell’esercizio di "rilevante interesse pubblico", non necessitano di specifiche autorizzazioni del Garante sulla tutela dei dati personali e possono essere svolte purchè se ne dia informazione agli interessati.
Il Governo ha emanato il decreto legislativo 11.05.1999 n. 135 (G.U. n. 113/1999) sul trattamento dei dati sensibili (salute, opinioni filosofiche o religiose, abitudini sessuali) da parte di soggetti pubblici. Le operazioni relative ai dati, individuate dal decreto nell’esercizio di "rilevante interesse pubblico", non necessitano di specifiche autorizzazioni del Garante sulla tutela dei dati personali e possono essere svolte purchè se ne dia informazione agli interessati.
Fra tali operazioni si segnalano quelle relative a:
- istruzione;
- benefici economici (ad es. pensione ai disabili), contributi economici (ad es. ad una associazione);
- trattamento dei dati delle organizzazioni di volontariato (ad es. iscrizione nei registri regionali, convenzioni) e degli obiettori di coscienza;
- assistenza sanitaria ivi compresa quella agli stranieri;
- trapianti d’organo e trasfusioni di sangue;
- instaurazione di rapporti tra ASL e soggetti accreditati;
- interruzione volontaria della gravidanza;
- tossicodipendenze;
- persone in situazione di handicap;
- rapporti tra pubbliche amministrazioni ed enti di culto.
Nuove informazioni in materia di privacyLe recenti autorizzazioni del Garante per la protezione dei dati personali, tengono ovviamente conto di una normativa e di una terminologia sulle quali abbiamo già tentato di dissipare almeno un po' di nebbia. L’analisi del testo dell'autorizzazione n. 3/97- necessariamente superficiale e da completare con l’aiuto della Gazzetta - fa rilevare almeno 7 punti:
1. in forza di questo provvedimento vari organismi associati, anche non riconosciuti - comprese le organizzazioni di volontariato e le loro federazioni - sono autorizzati d’ufficio dal Garante (non occorre richiesta) a trattare dati sensibili in loro possesso, fermo restando l’obbligo di acquisire il consenso scritto della persona alla quale i dati stessi si riferiscono;
2. l’autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione, di formazione, di ricerca scientifica, di patrocinio, di tutela dell’ambiente e delle cose d’interesse artistico e storico, di salvaguardia dei diritti civili, nonchè di beneficenza, assistenza sociale o socio-sanitaria;
3. per tali fini, il trattamento dei dati sensibili può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa dell’organismo associativo, o per l’adempimento di obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
Qualora le varie associazioni si avvalgano di persone giuridiche o di altri organismi con scopo di lucro per perseguire le predette finalità, e in particolare di società editoriali o di centri di assistenza fiscale, l’autorizzazione è rilasciata anche ai medesimi organismi e persone giuridiche;
4. il trattamento autorizzato d’ufficio riguarda
- gli associati, i soci e, in casi particolari, i relativi familiari e conviventi
- gli aderenti, i sostenitori o sottoscrittori, i soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con l’organismo associativo
- i soggetti che ricoprono cariche sociali o onorifiche
- i beneficiari, gli assistiti e i fruitori delle attività o dei servizi prestati dall’associazione, limitatamente ai soggetti individuabili in base allo statuto o all’atto costitutivo, ove esistenti.
5. l’autorizzazione d’ufficio del Garante non può essere estesa agli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti in materia di trattamento di dati personali, nonchè alle norme dirette a prevenire le varie forme di discriminazione, in particolare quelle per motivi razziali, etnici, nazionali, religiosi, di delitti di genocidio;
6. l’autorizzazione è decorsa dal 30 novembre 1997 (in questo senso ha sanato il preesistente obbligo per quella data) ed è valida fino al 30 settembre 1998;
7. elementi per l’identificazione del testo esaminato: "Autorizzazione n. 3/1997 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni".
P.S. Provvedimento del Garante in data 28.11.’97 - G.U. n. 279/1997.
1. Rispettivamente in data 19 novembre ‘97(G.U. n. 272) e 27 novembre ‘97 (G.U. n. 279), il Garante per la protezione dei dati personali ha emesso le seguenti due altre autorizzazioni che possono interessare le organizzazioni di volontariato:
"Autorizzazione n. 1/1997 al trattamento dei dati sensibili nei apporti di lavoro";
"Autorizzazione n. 2/1997 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale".
2. Con un proprio comunicato l’ufficio del Garante ha consigliato la seguente formula da inserire nei moduli di adesione da parte di nuovi associati: "Ricevuta l’informativa sull’utilizzazione dei miei dati personali, ai sensi dell’art. 10 della legge n. 675/96, consento al loro trattamento nella misura necessaria per il perseguimento degli scopi statutari".
Nuovo parere in materia di privacy
Una nuova direttiva. Proprio recentemente il Garante per la protezione dei dati personali ha esaminato gli interrogativi e le istanze di alcuni enti locali riguardanti i doveri che incombono in materia di privacy sulle società incaricate dalle amministrazioni comunali e provinciali di produrre alcuni servizi di pubblica utilità; l’esame si è concretizzato nella direttiva (G.U. n. ..../1998) il cui significato supera l’ambito del caso specifico posto dalle relative istanze.
Ecco alcuni contenuti della direttiva che assumono valore anche per gli organismi di volontariato chiamati a fornire servizi sul territorio in base a rapporti convenzionali:
1. le norme della legge n. 675/1996 sulla tutela dei dati personali debbono armonizzarsi con ogni altra disposizione in vigore che attribuisce alle amministrazioni pubbliche compiti e poteri per affrontare con controparti private materie finalizzate alla cura di interessi che riguardano l’intera collettività.
2. Sono stabilite regole diverse a seconda che il "trattamento" dei dati venga effettuato da un soggetto pubblico o da uno privato.
3. I soggetti pubblici (regioni, comuni, province, ASL, ...) non devono richiedere - a differenza di quelli privati - il consenso degli interessati per poter "trattare" i dati personali ma devono verificare che i loro comportamenti in materia rispettino determinate regole fissate dalla legge 675/’96 (art. 27).
4. Poichè nello svolgimento dei propri compiti istituzionali i soggetti pubblici possono ricorrere alla collaborazione dei privati attraverso concessioni-appalti-convenzioni, si verificano due diversi obblighi di comportamento a seconda che i privati stessi assumano la figura dei collaboratori esterni che coadiuvano l’amministrazione pubblica la quale resta responsabile dell’intera attività (compreso il "trattamento" dei dati personali), oppure si pongano come soggetti del tutto distinti anche sul piano della responsabilità.
"Nel primo caso, ai fini dell’applicazione della legge n. 675/1996, il privato è parte sostanziale della struttura pubblica ed è quindi vincolato ad utilizzare i dati per le sole finalità perseguite dall’amministrazione in base al particolare regime previsto per quest’ultima. In questo stesso caso, si rende necessario un apposito atto scritto dell’amministrazione (anche nell’ambito di una disposizione inserita in un articolo di una convenzione, oppure in un provvedimento amministrativo o in un atto di diritto privato), che deve indicare, nei confronti del privato cui è stato demandato il trattamento, chi svolga l’eventuale ruolo del "responsabile" (art. 8 legge n. 675/1996). E’ necessario inoltre che i dipendenti della struttura privata operino in qualità di "incaricati del trattamento", sotto la diretta sorveglianza e secondo le istruzioni del titolare e del responsabile (artt. 8, comma 5, e 19 legge n. 675/1996).
Nel secondo caso, invece, il privato deve essere considerato come un soggetto autonomo che tratta i dati in base alle regole previste per i soggetti privati e per gli enti pubblici economici (e che è quindi tenuto a valutare l’esigenza di richiedere un consenso agli interessati: artt. 12 e 20 legge n. 675/1996".
Precisazioni sulla privacy
La G.U. n° 216 del 14/09/1999 pubblica il D.P.R. 28/07/1999 n° 318, il quale è relativo alla sicurezza nel trattamento dei dati personali effettuato anche da organizzazioni di volontariato e a tale proposito riporta il regolamento applicativo dell'art. 15 della L. 675/96 sulle modalità di sicurezza del trattamento dei dati personali che debbono essere adottate dai titolari o dai responsabili dello stesso.
Nel caso di trattamento di dati per interesse esclusivamente personale (un'agendina, p.e.), contenuti in un computer è sufficiente fissare una parola chiave che renda impossibile a terzi l'accesso, oltre che una protezione elettronica dei dati medesimi.
Nel caso invece di dati trattati in rete, accessibile o meno a terzi, oltre alla parola chiave ed alla protezione elettronica, il titolare deve fissare un codice identificativo per ciascun incaricato del trattamento (coloro che materialmente digitano i dati o che vi accedono per trattarli) e per coloro che effettuano la manutenzione o le interconnessioni in rete.
Analogamente il titolare deve comportarsi con gli utenti ammessi alla consultazione dei dati custoditi; non occorrono tutte queste precauzioni se esiste l'autorizzazione del garante per la diffusione al pubblico dei dati trattati (elenchi telefonici p. e.).
Se si tratta di dati sensibili (concernenti la salute, le opinioni politiche e religiose, l'appartenenza ad associazioni), oltre a quanto sopra, il titolare deve dare a ciascun incaricato, utente o manutentore una apposita autorizzazione, rivedibile ogni sei mesi, che deve essere revocata in caso di cessazione dai compiti.
Nel caso di dati sensibili accessibili in rete al pubblico, il titolare deve predisporre un "documento" annuale contenente i criteri per le particolari misure di sicurezza.
Nel caso di dati sensibili i dischetti usati e non più necessari debbono essere distrutti a meno che la cancellazione dei dati precedenti sia sicura.
Qualora i dati non siano conservati su supporto elettronico (registri, schede cartacee, etc.) il titolare ha l'obbligo di assegnare specifici settori in appositi locali ai singoli incaricati del trattamento, i quali hanno l'obbligo di custodire i dati in spazi muniti di serratura, se trattasi di dati sensibili. (S. Nocera)
Trattamento dei dati "sensibili"
Individuazione di attività che perseguono rilevanti finalità di interesse pubblico per le quali è autorizzato il trattamento dei dati sensibili da parte dei soggetti pubblici.
Provv. del Garante per la protezione dei dati personali n. 1/P/2000/13.1.2000 – G.U. n. 26/2000.
Tale provvedimento del "Garante per la protezione dei dati personali" merita di essere conosciuto perché fissa regole che riguardano attività da sempre oggetto privilegiato dell’azione del volontariato.
Vocabolario:
- trattamento: è qualunque operazione svolta con o senza l’ausilio di mezzi elettronici o comunque automatizzati, che riguardano la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati (non è uno scioglilingua);
- dati personali sensibili: sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Rispetto al trattamento di questi dati da parte di soggetti pubblici (p.e. regioni, comuni, province, aziende sanitarie locali, uffici dello Stato, esclusi comunque gli enti economici) erano sorti dubbi e complicazioni che proprio il nuovo provvedimento del Garante-privacy cerca di risolvere individuando gli ambiti e autorizzando l’uso di "dati sensibili" inerenti le seguenti attività di interesse generale che determinati soggetti pubblici sono chiamati a svolgere per disposizione di legge:
· attività socio-assistenziali, con particolare riferimento a:
a. interventi di sostegno psico-sociale e di formazione in favore di giovani o di altri soggetti che versano in condizioni di disagio sociale, economico o familiare;
b. interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti o incapaci, ivi compresi i servizi di assistenza economica o domiciliare, di telesoccorso, accompagnamento e trasporto;
c. assistenza nei confronti di minori, anche in relazione a vicende giudiziarie;
d. indagini psico-sociali relative all’adozione di provvedimenti di adozione anche internazionale;
e. compiti di vigilanza per affidamenti temporanei;
f. iniziative di vigilanza e di sostegno in riferimento al soggiorno di nomadi;
g. interventi in tema di barriere architettoniche;
· attività relative alla gestione di asili nido;
· attività concernenti la gestione di mense scolastiche o la fornitura di sussidi, contributi e materiale didattico;
· attività ricreative o di promozione della cultura e dello sport;
· attività finalizzate all’assegnazione di alloggi di edilizia residenziale pubblica;
· attività relative alla leva militare;
· attività di polizia amministrativa locale, con particolare riferimento ai servizi di igiene e ai controlli in materia di ambiente;
· attività degli uffici per le relazioni con il pubblico;
· attività in materia di protezione civile;
· attività di supporto al collocamento e all’avviamento al lavoro;
· attività dei difensori civici regionali e locali.
«La storia è testimonio dei tempi, luce della verità, vita della memoria, maestra della vita» (Cicerone)
«La storia non è utile perché in essa si legge il passato, ma perché vi si legge l’avvenire» (M.D’Azeglio)
«Bisogna ricordare il “passato” per costruire bene il “futuro”» (V.Ieralla)
Per qualsiasi segnalazione, rettifica, suggerimento, aggiornamento, inserimento dei nuovi dati o del curriculum vitae e storico nel mondo dei sordi, ecc. con la documentazione comprovata, scrivere a: info@storiadeisordi.it
"Storia dei Sordi. Di Tutto e di Tutti circa il mondo della Sordità", ideato, fondato e diretto da Franco Zatini