9/04/2010
PRIVACY – SPECIALE D. Lgs. 196/03
Per informazioni rivolgersi a:
dott. Alessandro Faletti (alessandrofaletti@atseco.it)
d.ssa Sandra Campioli (sandracampioli@atseco.it)
Reggio Emilia, 6 Aprile 2010
No a dati sanitari dei dipendenti sui siti delle aziende
Il Garante impone a una società di rimuovere i dati sulla salute di un dirigente pubblicati on line
Il Garante privacy ha vietato ad una società l’ulteriore diffusione dei dati sulla salute di un dirigente pubblicati sul sito dell’azienda e liberamente reperibili nel web.
Il provvedimento (di cui è stato relatore Giuseppe Chiaravalloti) è stato adottato in seguito alla segnalazione del dirigente che, dopo aver ricevuto comunicazione della risoluzione del rapporto di lavoro, è venuto a conoscenza di un comunicato stampa, pubblicato su una pagina del sito dedicata agli investitori, dove erano riportati nome, cognome, informazioni sul suo stato di salute e sull’assenza dal lavoro dovuta a uno “stato morbile”.
Il dirigente aveva anche lamentato come a causa del comunicato stampa, veicolato a un numero elevatissimo di soggetti attraverso il sistema Nis (Network information system) di Borsa Italiana e Consob (il circuito telematico che permette alle agenzie di stampa di ricevere i comunicati delle società aderenti), incontrasse difficoltà nel proprio reinserimento professionale.
Dal canto suo la società ha giustificato il proprio operato appellandosi alla necessità di chiarezza e trasparenza richiesta dal mercato nel quale opera.
Nel motivare la sua decisione, il Garante ha ribadito che la diffusione delle informazioni idonee a rilevare lo stato di salute è vietata dal Codice Privacy e ha sottolineato che la richiamata esigenza di trasparenza avrebbe potuto essere ugualmente perseguita dalla società omettendo nel comunicato stampa l’indicazione delle condizioni di salute del dirigente. L’azienda ha adempiuto entro i tempi stabiliti al provvedimento del Garante rimuovendo i dati dal sito.
No alla profilazione occulta
Per creare profili dei clienti in base ai loro gusti e alle loro abitudini o utilizzare i loro dati personali a fini di marketing, le aziende devono chiedere uno specifico consenso.
E’ per questo motivo che il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha vietato ad una società che opera nel settore dell’energia elettrica e del gas in alcune province del Nord Italia, l’ulteriore trattamento dei dati personali della clientela raccolti illecitamente.
In seguito all’attività ispettiva avviata dall’Autorità, è emerso infatti che la società sottoponeva alla clientela un modello di richiesta di consenso unico sia per la fornitura del servizio richiesto (consenso peraltro non necessario quando si tratta di obblighi contrattuali), sia in ordine a diversi scopi per i quali i dati venivano raccolti e utilizzati: analisi delle abitudini e scelte di consumo; invio ai clienti di informazioni commerciali; ricerche di mercato (realizzate anche con la collaborazione di terzi attraverso lettere, telefono, e-mail); attività dirette di vendita o di collocamento di prodotti e servizi.
La normativa sulla privacy stabilisce, invece, che la richiesta di consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati personali, manifestando un consenso specifico per ciascuna distinta finalità perseguita dal titolare.
L’Autorità ha dunque vietato l’ulteriore trattamento illecito dei dati, ferma restando la loro utilizzabilità per la fornitura dei servizi richiesti. Alla società, che ha provveduto tempestivamente, è stato inoltre imposto di riformulare il modello di informativa e di trasmetterne esemplare al Garante.
Importanza e limiti delle autorizzazioni generali al trattamento dei dati sensibili rinnovate dall’Autorità garante per la protezione dati personali
Il Garante per la protezione dei dati personali ha recentemente rinnovato le 7 autorizzazioni generali al trattamento di dati sensibili e giudiziari (G.U. n. 13 del 18 gennaio 2010 – supplemento ordinario n.12), efficaci a partire dal 1°gennaio fino al 30 giugno 2011.
Nell’ambito della normativa privacy e protezione dati personali tali autorizzazioni assumono una particolare importanza, non sempre pienamente conosciuta dalle aziende nel loro ruolo di titolari di trattamento dati personali.
Per dati sensibili si deve qui intendere i
“dati personali idonei a rivelare l’origine razziale ed etnica,le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” [art. 4 comma 1 lettera d) del D.Lgs 196/03‐ Codice Privacy]
Occorre in primo luogo ricordare che il Garante, ai sensi dell’art. 40 del Codice Privacy, rilascia questo tipo di autorizzazioni in quanto il trattamento di dati sensibili può lecitamente avvenire [art. 26 comma 1 del Codice Privacy (“Garanzie per i dati sensibili”)] solo nel rispetto di queste condizioni:
– previa autorizzazione del Garante e
– con il consenso scritto da parte dell’ Interessato (la persona alla quale i dati si riferiscono) e
– nell’osservanza dei presupposti e dei limiti stabiliti dal Codi ce Privacy, nonché dalla legge e dai regolamenti applicabili.
Per quanto riguarda il consenso, per le aziende è notevole importanza la lettera d) comma 4 del citato articolo 26, laddove è previsto che i dati sensibili possono essere trattati anche senza il consenso, previa autorizzazione del Garante, quando il trattamento
“è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza,…”.
Posta l’osservanza delle norme di legge applicabili, e limitatamente al trattamento dei dati sensibili necessario per adempiere a quanto richiesto dalla legge per la gestione del rapporto di lavoro, l’autorizzazione del Garante rappresenta dunque la base legale nonché fattore abilitante per poter trattare lecitamente i dati sensibili, da qui anche l’importanza delle autorizzazioni recentemente rinnovate.
È bene in ogni caso ricordare che queste autorizzazioni non stabiliscono alcuna deroga rispetto all’insieme dei requisiti che caratterizzano gli adempimenti privacy e protezione dati personali.
Pertanto la generica azienda, pur avvalendosi delle autorizzazioni in oggetto, dovrà sempre tenere in particolare considerazione, relativamente ai trattamenti di dati sensibili che svolge:
‐ i principi generali espressi con gli articoli 3 ”Principio di necessità nel trattamento dei dati” ed 11”Modalità di trattamento e requisiti dei dati”,
‐ se ricorrono gli estremi per la Notifica al Garante ai sensi dell’art.37 “Notificazione del trattamento” e seguenti,
‐ l’informativa (art. 13 “Informativa”) ed il consenso (art.26 “Garanzie per i dati sensibili”) nonché l’esercizio dei diritti da parte dell’interessato (art.7 “ Diritto di accesso ai dati personali ed altri diritti” e seguenti),
‐ le misure di sicurezza (art. 31”Obblighi di sicurezza” e seguenti) ed in particolare le misure minime (dettagliate nell’allegato B del Codice Privacy),
‐ i trasferimenti di dati all’estero (articoli del Titolo VII ‐ Trasferimento dei dati all’estero del Codice Privacy),
‐ le designazioni degli incaricati al trattamento (art. 30 “Incaricati del trattamento”) e le nomine di responsabili ex art.29”Responsabile del trattamento”,
‐ i provvedimenti generali (relativi alla videosorveglianza, al ruolo degli amministratori di sistema, utilizzo di internet ed email sul luogo di lavoro,..) ed i provvedimenti specifici per taluni settori, qualora l’azienda rientri nel novero dei destinatari di quest’ultimi provvedimenti.