L Autorità al Forum P.A. Codice della privacy, identità digitale, sicurezza, comunicazione pubblica i temi affrontati

Transcript

1 N. 210 del 26 aprile - 2 maggio 2004 L Autorità al Forum P.A. Presentata la Relazione annuale Notificazioni in sanità: precisazioni del Garante L Autorità al Forum P.A. Codice della privacy, identità digitale, sicurezza, comunicazione pubblica i temi affrontati Il nuovo Codice in materia di protezione dei dati personali, la semplificazione amministrativa, l identità digitale, i rapporti tra sicurezza collettiva e privacy dell individuo, la comunicazione nelle pubbliche amministrazioni, il ruolo delle authorities: questi i temi sui quali l Autorità Garante si confronterà quest anno nell ambito alla XV edizione del Forum della p.a.., in programma a Roma dal 10 al 14 maggio ( Stefano Rodotà, presidente del Garante, parteciperà al convegno Tra norme e prassi: per una organizzazione della funzione di comunicazione nelle pubbliche amministrazioni (11 maggio, ore 12,30) con un intervento dedicato al tema La funzione di comunicazione nell interpretazione delle Autorità garanti. Il vicepresidente Giuseppe Santaniello, nell ambito del convegno Semplificazione e qualità delle regole (13 maggio, ore 9,30), tratterà delle novità introdotte dal Codice in materia di protezione dei dati personali nel rapporto tra cittadino e pubblica amministrazione. Gaetano Rasi, componente dell Autorità, parteciperà al convegno, in calendario il giorno 11 maggio alle ore 9,30, dedicato a La sicurezza Partecipata: coordinamento e cooperazione interistituzionale. Rasi terrà un intervento su Problematiche relative alla tutela dei dati personali nella carta d identità elettronica, illustrando l orientamento del Garante sui documenti elettronici e i principali profili problematici della carta d identità. Il segretario generale dell Autorità, Giovanni Buttarelli, parteciperà il 10 maggio, ore 9,30 al convegno L identità digitale e gli strumenti di autenticazione in rete tra necessità di semplicità e tutela della privacy e, nel pomeriggio dello stesso giorno, al convegno dedicato al Funzionamento e organizzazione delle authorities: esperienze a confronto (ore 15,00). Nell ambito dei Master organizzati ogni anno dal Forum, sempre Buttarelli, il giorno 14 maggio dalle ore 10,00 alle 18,00, terrà un corso su Il Codice in materia di protezione dei dati personali: le novità riguardanti la pubblica amministrazione. Il corso si articolerà in una prima parte, a carattere illustrativo, dedicata alle semplificazioni e alle nuove garanzie introdotte dal testo unico in materia di privacy, e in una seconda parte, a carattere pratico, nella quale si effettuerà una verifica dell applicazione della normativa nei diversi settori della P.A. Presso lo stand dell Autorità sarà programmato, nel corso della manifestazione, un video esplicativo sul Codice della privacy e sull attività del Garante. Saranno inoltre in distribuzione la Relazione annuale, presentata il 28 aprile presso la Camera di Deputati, le pubblicazioni curate dall Ufficio, i depliant illustrativi e la nuova edizione del CD Rom Cittadini e Società dell informazione, contenente il Codice in materia di protezione dei dati personali.

2 Presentata la Relazione annuale del Garante L'Autorità per la protezione dei dati personali, composta da Stefano Rodotà, Giuseppe Santaniello, Gaetano Rasi e Mauro Paissan, presenta la Relazione sul settimo anno di attività e sullo stato di attuazione della normativa, anche dopo l entrata in vigore del Codice della privacy, il decreto legislativo 30 giugno 2003 n.196. Il Codice, che riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, rappresenta il primo esempio, su scala internazionale, di riordino di una materia complessa come quella della protezione dei dati personali, ispirato alla semplificazione degli adempimenti e al contestuale rafforzamento delle garanzie per i cittadini. La Relazione per l anno 2003 è suddivisa in tre grandi sezioni dedicate rispettivamente al diritto alla protezione dei dati personali, all attività del Garante, alla documentazione a carattere nazionale ed internazionale, e traccia il bilancio del lavoro svolto dall'autorità nei numerosi settori nei quali è stata richiesta una azione di intervento e regolazione a difesa dei diritti fondamentali delle persone. Un anno che ha registrato, tra l altro, un rilevante impegno dell Autorità a tutela di chi naviga in Internet, dei consumatori nei rapporti con banche e finanziarie, delle persone coinvolte in fatti di cronaca, con speciale riguardo ai minori. Nella relazione vengono anche delineate le direttrici lungo le quali si concentrerà il lavoro del Garante nell immediato futuro e che riguarderà campi particolarmente a rischio come le rilevazioni biometriche a fini di identificazione (impronte digitali, iride, riconoscimento facciale, Dna etc.); le nuove tecnologie applicate alle tlc e comunicazioni elettroniche ( etichette intelligenti cioè sistemi di identificazione a radiofrequenza o Rfid; la localizzazione e la tracciabilità delle persone; le videochiamate); i sistemi per potenziali schedature di massa, attraverso dati genetici, gusti consumeristici, conservazione di dati di traffico telefonico e telematico. L attività del Garante Oggi la tutela della privacy non può più essere intesa come il tradizionale diritto ad essere lasciato solo, ma si configura come diritto fondamentale della persona, come diritto di controllare la circolazione dei dati personali e di verificarne il loro corretto uso. Tanto più in un mondo nel quale si va affermando una costante tendenza a delegare alle tecnologie la risoluzione dei problemi, a trasformare il corpo in una password, ad attivare flussi continui ed incontrollati di informazioni personali. In linea con questa visione, l impegno del Garante è stato rivolto alla individuazione di effettive garanzie di tutela in ambiti particolarmente delicati, legati ai rischi delle nuove tecnologie a fini di sicurezza; all uso discriminatorio dei dati personali, anche di quelli più sensibili; alla tutela dei consumatori nei confronti della costruzione di profili a scopi commerciali; alla comunicazione elettronica e contro l abuso delle spazzatura, il cosiddetto spamming (sono stati bloccati i data-base di oltre 20 società operanti sul web); al crescente ricorso all uso di telecamere e sistemi di videosorveglianza; alle modalità per un corretto uso di Sms e degli Mms; al rispetto della dignità delle persone da parte del mondo dell informazione. Particolare attenzione è stata rivolta dall Autorità al mondo produttivo, con un costante lavoro di semplificazione degli adempimenti (compresa la notificazione al Garante dell avvio di un trattamento di dati), e alle garanzie da assicurare ai cittadini, anche in momenti importanti della vita democratica (si veda, ad esempio, il recente provvedimento sulla propaganda elettorale). I dati I dati statistici per il 2003 mostrano un incremento costante del lavoro dell Ufficio rispetto all anno precedente. Sono stati decisi 775 ricorsi (nel 2002 erano stati 550), sono passate a 4914 le risposte a quesiti, segnalazioni e reclami (3689 nel 2002) e vi è stato un vero e propri balzo in avanti delle risposte a richieste di informazioni per telefono, passate da a

3 I procedimenti relativi alle richieste di accesso e verifica dei dati esistenti nel Sistema Informativo Schengen sono state 464. Gli interventi più rilevanti Gli interventi più rilevanti si sono avuti riguardo a: pubblica amministrazione (grandi banche dati, carta di identità elettronica, tessera elettorale, bilanciamento diritto alla riservatezza e diritto di accesso); società della sorveglianza (telecamere, raccolta ed uso di dati biometrici, web cam, etichette intelligenti); giornalismo e informazione (cronache giudiziarie, protezione dei minori, foto segnaletiche, privacy dei personaggi pubblici); Internet (Spamming, furto di identità, consulenze on line, pubblicazione di fotografie sul web, test genetici on line); telecomunicazioni (Mms, Sms, localizzazione dei cellulari, conservazione dati di traffico, nuovi elenchi telefonici, bollette in chiaro, attivazione di servizi non richiesti); direct marketing (informativa e consenso, profilazione dei clienti, telefonate e fax indesiderati); sanità (dati genetici, banche dati del Dna, banche dati a fini di controllo della spesa pubblica, procreazione assistita); rapporto di lavoro (salute dipendenti, controllo a distanza dei lavoratori, annunci di lavoro, gestione curricula, questionari di valutazione); attività giudiziarie e di polizia (consultazione casellario giudiziale da parte delle p.a., acquisizione dati per via telematica da parte delle autorità di p.s.); associazioni e movimenti politici (decalogo sull uso di dati per propaganda elettorale); vita sociale (censimento, elenchi dei contribuenti ad alto reddito); sistema impresa (trasferimento di dati all'estero, misure di sicurezza); sistema bancario e assicurativo ( centrali rischi private, e-banking, anagrafe assegnai bancari e postali, intermediazione finanziaria). I codici deontologici Dopo la pubblicazione in questi anni del codice deontologico dei giornalisti, di quello per storici ed archivisti, di quello sulla ricerca statistica pubblica e privata, in linea con quanto stabilito dal Codice il Garante ha aperto i tavoli di lavoro con le categorie interessate per la predisposizione dei codici di buona condotta riguardanti settori di grandissima rilevanza. Presto vedranno la luce i codici dedicati alle indagini difensive ed alla videosorveglianza, ai quali si aggiungeranno nel corso del 2004, in particolare quelli riguardanti Internet, i rapporti di lavoro, il direct marketing. Si sono appena conclusi i lavori dei codici dedicati alla cosiddette centrali rischi private e al trattamento dei dati statistici da parte di soggetti che non fanno parte del Sistema Statistico nazionale. L attività internazionale Il quadro internazionale è stato definito da un sempre più significativo riconoscimento della protezione dei dati quale diritto fondamentale, sancito nella Carta dei diritti fondamentali dell UE, e elemento essenziale della costituizionalizzazione e della libertà della persona; dall altra dalle pressioni esercitate per utilizzare i dati personali a fini di sicurezza interna ed internazionale. All interno del dibattito sui rapporti tra lotta al terrorismo e diritti individuali, tra sicurezza e privacy che ne è derivato, si è svolto l intenso lavoro portato avanti dal Comitato dei Garanti europei sotto la presidenza di Stefano Rodotà. A tale proposito va sottolineato il particolare rilievo assunto dall impegno per la definizione di precise garanzie a tutela dei cittadini europei in viaggio verso gli Stati Uniti relativamente al trasferimento alle autorità statunitensi, da parte delle compagnie aeree europee, dei loro dati personali. Impegno che ha trovato conferma nella ferma successiva presa di posizione dell Europarlamento contro accordi che non prevedano tali necessarie garanzie. I Garanti UE hanno emanato, inoltre, diversi pareri e documenti riguardo ai dati genetici, alle biometrie,

4 al riutilizzo di informazioni del settore pubblico, alla pubblicità indesiderata, al trasferimento dei dati personali verso paesi extra Ue, all amministrazione elettronica, alla tutela dei dati negli elenchi cosiddetti Whois, contenenti cioè informazioni per contattare i responsabili dei siti web. La Relazione contiene anche il sesto rapporto dell Autorità di controllo comune Schengen, elaborato sotto la presidenza del segretario generale del Garante, Giovanni Buttarelli. Notificazioni in sanità: precisazioni del Garante L Ufficio del Garante per la protezione dei dati personali, rispondendo a quesiti formulati nei giorni scorsi dalla Fimmg, dalla FnomCeo e dall Anisap, ha ritenuto opportuno fornire alcune precisazioni relative ai trattamenti in ambito sanitario che non devono essere notificati entro il 30 aprile 2004 in base ad una corretta interpretazione delle disposizioni vigenti (provvedimento consultabile sul sito web Nel rammentare che la notificazione deve essere effettuata solo se il trattamento è indicato dal Codice in materia di protezione dei dati personali e può essere esclusa per effetto di un provvedimento di esonero che è stato adottato dalla stessa Autorità lo scorso 31 marzo, precisa tra l altro quanto segue: Dati genetici e biometrici: Sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia i medici che in forma associata condividono il trattamento con altri professionisti, specie all interno di uno stesso studio medico Il trattamento dei dati genetici non va notificato quando il professionista, nell ambito di ordinari rapporti con il paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening o test genetici, indagini prenatali, diagnosi e cura di determinate patologie genetiche). La notifica deve essere effettuata solo se il trattamento dei dati genetici è sistematico ed assume il carattere di costante e prevalente attività del medico (ad es. un genetista). L esonero non opera invece per i trattamenti di dati genetici e biometrici effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo aziende sanitarie laboratori di analisi cliniche, associazioni sportive). L esonero è stato infatti disposto solo in favore di persone fisiche esercenti le professioni sanitarie e non per i trattamenti in quanto tali. Procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività Le considerazioni sull esonero espresse in tema di dati genetici e biometrici per i professionisti che effettuano il trattamento individualmente o in forma associata valgono anche per i trattamenti relativi a procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività. Nell esonero rientrano anche i trattamenti effettuati da un medico specialista nell ambito di un attività di consulenza o di procreazione assistita, sempre che non siano effettuati in modo sistematico. Per quanto riguarda malattie infettive il trattamento da notificare è solo quello che deve essere effettuato a fini di rilevazione... di tali patologie e in linea generale riguarda gestori di strutture anziché singoli professionisti che occasionalmente vengono a conoscenza di tali. Prestazioni di servizi sanitari on line Le prestazioni di servizi sanitari on line vanno notificate solo se i servizi sono:

5 a) relativi ad una banca dati o siano prestati per via telematica b) relativi alla fornitura di beni. Non vanno quindi notificati: a) i trattamenti di dati sanitari nell ambito della teleassistenza (consultazione di specialisti per via telefonica) b) i trattamenti di dati organizzati in banche dati trattati manualmente (archivi cartacei) c) i trattamenti di dati organizzate in banche dati informatizzate ma non collegate ad una rete telematica Non devono, infine, notificare i medici che usano unicamente un computer nel proprio ufficio; usano la posta elettronica per dialogare con i pazienti, effettuano prenotazioni per gli assistiti, ecc. Anche sulla base di altri esempi sono stati considerati quindi esonerati dalla notificazione diversi trattamenti effettuati nell ambito della cd. medicina in rete. Per altri casi di accesso a banche dati da parte di medici è stato precisato che la notificazione compete invece alla a.s.l. o all ente locale. Monitoraggio della spesa sanitaria; igiene e sicurezza del lavoro Poiché non rientrano nel monitoraggio della spesa sanitaria non vanno notificati i trattamenti di dati sanitari effettuati da strutture convenzionate con il Servizio sanitario nazionale, solo per ottenere il rimborso delle prestazioni specialistiche erogate. (Comunicato stampa del 27 aprile 2004) NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002). Direttore responsabile: Baldo Meo. Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n Roma. Tel: Fax: Newsletter è consultabile sul sito Internet