|
FAQ
DOMANDE E RISPOSTE
In questo documento sono raccolte le domande più frequenti in materia di
trattamento di dati personali.
Le fonti normative dalle quali sono state elaborate le risposte sono le
seguenti:
- Bollettini del Garante (annate 1997 - 2002);
- Newsletter del Garante (annate 2003 - 2005);
- Notiziario bimestrale (annate 2003 - 2004);
- Relazione annuale del Garante Privacy per l'attività del 2004;
- I documenti "Glossario minimo della protezione dei dati
personali" e "I tuoi diritti … e come farli valere" a
cura del Garante.
Elenco degli argomenti trattati:
- Attività didattica
- Consenso al trattamento
- Dati personali,
giudiziari e sensibili
- Dati sensibili e
personali del lavoratore
- Diritti dell'interessato
- Diritto di accesso e privacy
- Responsabili esterni
- Spamming e posta elettronica
- Varie
1. Attività didattica
1.1 Quali sono le modalità con cui i laureandi possono
eseguire ricerche con raccolta di dati personali e/o sensibili presso
soggetti privati (es. tramite questionari a risposta multipla) da utilizzare
per la tesi di laurea?
L'Università ed in particolare gli studenti laureandi necessitano a volte
di raccogliere informazioni personali su un certo campione di soggetti. In
tal caso è necessario che siano a ciò autorizzati dal docente che li segue
nella tesi di laurea, ma soprattutto che nel momento in cui vengono raccolte
le informazioni per la ricerca, venga fornita ai partecipanti l'informativa
con la quale rendere noto agli interessati le finalità della raccolta dei
dati, le modalità del trattamento, l'indicazione che trattasi di
partecipazione volontaria e ogni altra informazione utile (es. come
esercitare i propri diritti..) a definire gli ambiti della ricerca e
l'utilizzo che verrà fatto di tali dati.
1.2 Nell'ambito del sistema interbibliotecario, quali dati è
necessario che vengano trasmessi da una biblioteca all'altra?
Nell'ambito del sistema di scambio interbibliotecario, precisa il Garante,
non è necessario trasmettere tutti i dati personali dell'interessato.
Questi infatti rimangono agli atti della biblioteca richiedente. Sarà
necessario trasmettere solo i dati relativi al libro richiesto.
Torna all'indice
2. Consenso al trattamento
2.1 Che cos'è il consenso? Chi lo può dare?
Il consenso è la libera manifestazione della volontà dell'interessato con
cui questi accetta espressamente un determinato trattamento dei suoi dati
personali, sul quale è stato preventivamente informato da chi gestisce i
dati. Il consenso può essere prestato solo dall'interessato. È sufficiente
che il consenso sia "documentato" in forma scritta (ossia,
annotato, trascritto, riportato dal titolare o dal responsabile o da un
incaricato del trattamento su un registro o un atto o un verbale), a meno
che il trattamento riguardi dati "sensibili"; in questo caso
occorre il consenso rilasciato per iscritto dall'interessato (ad es., con la
sua sottoscrizione).
2,2 Il consenso per il trattamento dei dati personali non
sensibili è sempre necessario?
No, in alcuni casi il trattamento può essere effettuato senza il consenso
degli interessati.
In particolare, se i dati sono stati raccolti e sono conservati perché
così prescrive la legge o un regolamento o una norma comunitaria; oppure se
il trattamento di dati è necessario per adempiere agli obblighi previsti da
un contratto; se i dati sono ricavati da pubblici registri, atti o documenti
che chiunque può conoscere; se il trattamento ha scopi scientifici o
statistici e rispetta il relativo codice di deontologia; se il trattamento
è effettuato per scopi giornalistici (si applica anche il codice
deontologico per i giornalisti); se i dati riguardano lo svolgimento di
attività economiche (ad es., i dati relativi al fatturato di un'azienda), e
non si violano eventuali segreti aziendali o industriali; se occorre
salvaguardare l'incolumità fisica o la vita dell'interessato (o di un
terzo) che non è in grado di dare il consenso (è il caso dei trattamenti
sanitari d'urgenza); se il trattamento è necessario per far valere o a
difendere un diritto in sede giudiziaria (ad es., per l'istruzione di un
processo, per la preparazione del dibattimento, ecc.).
2.3 Anche i soggetti pubblici debbono richiedere il consenso per il
trattamento dei dati non sensibili?
No. I soggetti pubblici, tra cui l'Università, non devono raccogliere il
consenso degli interessati, poiché il Codice consente loro di effettuare
trattamenti di dati personali soltanto per lo svolgimento delle funzioni
istituzionali, nei limiti stabiliti da leggi e da regolamenti.
Torna all'indice
3. Dati personali,
giudiziari e sensibili
3.1 Che cos'è un dato personale?
Il dato personale è ogni informazione che riguardi persone, società, enti,
associazioni identificati o che possano essere identificati anche attraverso
altre informazioni, ad esempio, attraverso un numero o un codice
identificativo. Sono dati personali: nome e cognome o denominazione;
indirizzo o sede; codice fiscale; una foto, la registrazione della voce di
una persona, la sua impronta digitale o vocale. La persona può essere
infatti identificata anche attraverso alcune informazioni: a titolo
esemplificativo associando la registrazione della voce di una persona alla
sua immagine, oppure alle circostanze in cui la registrazione è stata
effettuata: luogo, ora, situazione.
3.2 Che cos'è un dato giudiziario?
Il dato giudiziario è quel dato personale che rivela l'esistenza di
determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario
giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la
liberazione condizionale, il divieto od obbligo di soggiorno, le misure
alternative alla detenzione). Rientrano in questa categoria anche la
qualità di imputato o di indagato. Per completezza espositiva si richiama
la definizione contenuta nell'art. 4, comma 1, lettera e del Codice.
3.3 Che cos'è un dato sensibile?
Il dato sensibile è un dato personale che può rivelare l'origine razziale
ed etnica, le convinzioni religiose o di altra natura, le opinioni
politiche, l'adesione a partiti, sindacati o associazioni, lo stato di
salute e la vita sessuale delle persone. Per la sua delicatezza, richiede
particolari cautele.
3.4 Quali sono le particolari cautele da seguire in caso di
trattamento di dati sensibili?
I soggetti privati possono operare solo in base alle autorizzazioni del
Garante e al consenso scritto degli interessati. I soggetti pubblici non
devono richiedere il consenso, ma possono svolgere solo determinati
trattamenti per rilevanti finalità di interesse pubblico.
Per quanto riguarda specificamente il trattamento dei dati sullo stato di
salute in ambito sanitario pubblico e privato, esiste una particolare
disciplina secondo la quale tale trattamento può essere svolto, di regola,
soltanto con il consenso dell'interessato, se ciò serve per tutelare la sua
salute o l'incolumità fisica.
Per alcune specifiche esigenze di tutela della salute di terzi o della
collettività (prevenzione e cure di malattie, ricerca medica ed
epidemiologica, interventi in materia di igiene e sanità pubblica ecc.) gli
"esercenti le professioni sanitarie e medici chirurghi" e gli
organismi sanitari pubblici (A.s.l., enti ospedalieri) possono trattare i
dati sanitari anche senza il consenso dei pazienti interessati, ma nel
rispetto delle prescrizioni contenute in un'autorizzazione del Garante.
Il trattamento dei dati sensibili è disciplinato negli artt. 20, 22 e 26
del Codice e nell'autorizzazione n. 2/2004 del Garante.
3.5 Dati sanitari contenuti nelle cartelle cliniche.
Interviene il Garante. In che modo?
Poiché la leggibilità delle informazioni è la prima condizione per la
loro piena comprensione, se la cartella clinica è illeggibile per la grafia
di chi l'ha redatta, l'interessato ha diritto di ottenere dall'azienda
sanitaria la trascrizione delle informazioni ivi contenute in modo da
risultare chiare.
Torna all'indice
4. Dati sensibili e
personali dei lavoratori
4.1 Si possono diffondere dati personali del dipendente
contenuti nel fascicolo personale?
No. Il fascicolo del dipendente contiene sicuramente dati personali ma anche
sensibili, che possono essere trasmessi dall'amministrazione solo in
ottemperanza a specifici obblighi di legge o ai propri fini istituzionali.
Il Garante ha ricordato, inoltre, che i dati sensibili vanno conservati in
un'apposita sezione separata del fascicolo personale ed essere accessibili
solo dal personale autorizzato.
Il Garante è poi intervenuto in diversi casi di diffusione erronea di dati
sensibili del lavoratore, affermando che, in conformità ai principi di
proporzionalità, necessità e pertinenza, il datore di lavoro deve trattare
solo i dati personali strettamente collegati all'utilizzo che se ne deve
fare evitando quindi diffusione di dati inutili per quel tipo di
trattamento. In virtù di tale principio il Garante ha sanzionato una
pubblica amministrazione che nel provvedimento di trasferimento di un
dipendente per gravi motivi di salute aveva indicato anche i problemi di
salute sofferti. In questo caso, infatti, l' indicazione generica di
"problemi di salute" già esaurisce l'obbligo di motivazione degli
atti amministrativi.
4.2 L'autorizzazione rilasciata dal datore di lavoro ad un
dipendente, per lo svolgimento di un incarico esterno, deve essere portata a
conoscenza anche del superiore gerarchico dell'interessato?
Si, la nota con cui l'Università riscontra l'istanza formulata da un
dipendente che chiede di essere autorizzato a ricoprire un incarico esterno,
deve venire a conoscenza anche del superiore gerarchico.
4.3 In caso di malattia del dipendente, quali dati devono essere
trasmessi all'INAIL?
In caso di malattia del dipendente, il Garante ha affermato che
all'INAIL va trasmessa la prognosi, ma non la diagnosi completa.
4.4 Si può chiedere all'Università (uffici competenti) ai
sensi della legge sulla privacy i dati relativi alle mansioni del lavoratore
contenute negli accordi collettivi?
Il diritto di accesso, regolato dalla normativa sulla Privacy, consente al
lavoratore di accedere a tutti i dati che lo riguardano detenuti dal proprio
datore di lavoro, ma non può essere esercitato per conoscere notizie di
carattere contrattuale o professionale (quali, ad esempio, gli accordi
collettivi nazionali od aziendali), se non strettamente e direttamente
riferite all'interessato. Nel caso concreto il Garante ha rigettato il
ricorso di un lavoratore il quale lamentava di non essere stato
adeguatamente informato circa le sue mansioni da svolgere.
Torna all'indice
5. Diritti dell'Interessato
5.1 Quali sono i diritti che spettano all'interessato?
Il Codice in materia di protezione dei dati personali riconosce
all'interessato (art. 7) i seguenti diritti:
a) il diritto di avere informazioni generali sui trattamenti di dati svolti
nel nostro Paese (attraverso la consultazione gratuita per via telematica
del registro dei trattamenti, pubblicato sul sito www.garanteprivacy.it
);
b) il diritto di accesso ai propri dati personali direttamente presso chi li
detiene (titolare del trattamento), ossia il diritto di ottenere la conferma
della loro esistenza e la loro comunicazione e di sapere da dove sono stati
acquisiti e quali sono i criteri e gli scopi del trattamento. Il titolare
può chiedere il pagamento di una somma ("contributo spese") se
non detiene dati dell'interessato;
c) il diritto di ottenere la cancellazione o il blocco di dati che sono
trattati violando la legge (ad esempio., perché non è stato chiesto il
consenso); tali diritti possono essere esercitati anche quando non ci sono
più motivi validi per conservare i dati;
d) il diritto di aggiornare, correggere o integrare i dati inesatti e
incompleti;
e) il diritto, nei casi indicati nelle lettere c) e d), di ottenere anche
un'attestazione da parte del titolare che tali operazioni sono state portate
a conoscenza dei soggetti ai quali i dati erano stati precedentemente
comunicati, a meno che ciò risulti impossibile o richieda un impegno
sproporzionato rispetto al diritto tutelato;
f ) il diritto di opporsi, per motivi legittimi, al trattamento dei propri
dati;
g) il diritto di opporsi al trattamento dei propri dati per scopi di
informazione commerciale o per l'invio di materiale pubblicitario o di
vendita diretta, oppure per ricerche di mercato.
5.2 Come si può verificare se un soggetto detiene
informazioni personali?
Si può chiedere senza particolari formalità conferma o meno della presenza
di dati personali dei privati, rivolgendosi direttamente alla società che
ha inviato una pubblicità indesiderata, al datore di lavoro, alla banca o
assicurazione, all'ente pubblico o a chiunque altro custodisca informazioni
sul conto dell'interessato.
5.3 Si può ottenere la correzione dei propri dati?
Sì. Con la stessa o con una successiva richiesta, si ha diritto di ottenere
gratuitamente la correzione, l'aggiornamento e, se c'è un interesse,
l'integrazione dei propri dati.
5.4 Si può chiedere la cancellazione dei propri dati
trattati illecitamente?
Sì. Se i dati sono trattati in violazione di legge, l'interessato ha
diritto di ottenerne gratuitamente la cancellazione o il "blocco"
dei propri dati o la loro trasformazione in forma anonima.
Torna all'indice
6. Diritto di accesso e privacy
6.1 Le richieste di accesso ai dati personali possono essere
subordinate al pagamento di un contributo?
Ai sensi del D. Lgs. n. 196/2003 (art. 10 comma 7) e del Regolamento
d'Ateneo in materia di trattamento dei dati personali (art. 6, ult. comma)
l'accesso ai dati personali è gratuito. L'Università non può, pertanto,
subordinare il rilascio delle informazioni al pagamento di una somma, ad
eccezione del caso, precisato nella sopra citata normativa, in cui non
risulti confermata l'esistenza di dati che riguardino l'interessato. In tal
caso è possibile chiedere un contribuito, che è attualmente fissato nella
misura di € 10,00.
6.2 Quali sono le regole di protezione dei dati personali
relativamente alle richieste di accesso di dati personali idonei a rivelare
lo stato di salute o la vita sessuale di un soggetto contenuti in documenti
amministrativi o depositati presso pubbliche amministrazioni?
Numerosi sono stati gli interventi del Garante sull'opportunità di accedere
a documenti detenuti dalla P.A. che potevano contenere dati sanitari e/o
sulla vita sessuale di un soggetto. Il criterio discriminante, precisato
anche dalla giurisprudenza del Consiglio di Stato, è che l'interesse per
cui si chiede l'accesso ai dati sensibili di soggetti terzi deve essere
"di pari rango" rispetto all'interesse alla protezione dei dati
personali. Tale valutazione va effettuata non con il generico diritto alla
difesa, spesso utilizzato per giustificare l'accesso, bensì analizzando la
situazione giuridica soggettiva che il terzo intende far valere.
Torna all'indice
7. Responsabili esterni
7.1 Nell'attività conto terzi, chi è il responsabile del
trattamento dei dati personali?
Nell'attività conto terzi, titolare del trattamento dei dati personali è
la società che chiede alla struttura universitaria una prestazione. Spetta
quindi all'azienda committente nominare il responsabile e gli incaricati.
7.2 Aziende appaltatrici.
Alle aziende aggiudicatarie di un appalto deve essere rilasciata
l'informativa ed è necessario valutare se la società sia configurabile
quale "responsabile esterno".
Torna all'indice
8. Spamming e posta
elettronica
8,1 Cos'è lo spamming?
E' il termine con il quale si indica l'invio di posta elettronica, fax, sms
o posta contenente messaggi, anche pubblicitari, NON RICHIESTI.
8.2 E' Lecito?
No, è vietato. I messaggi di tipo informativo o pubblicitario possono
essere inviati SOLO se il destinatario è stato preventivamente informato ed
ha manifestato liberamente il suo consenso. L'indirizzo di posta elettronica
è infatti considerato un dato personale e pertanto va trattato secondo la
normativa vigente.
Torna all'indice
9. Varie
9.1 E' legittimo l'utilizzo del fax nei rapporti tra
pubbliche amministrazioni?
Si, come metodo in sé è legittimo mandare fax tra pubbliche
amministrazioni. Chiunque utilizzi tali metodi, diventa incaricato del
trattamento dei dati e deve rispettare gli obblighi di riservatezza e le
misure di sicurezza che la legge pone a protezione dei dati personali
trattati.
9.2 Nella presentazione di domande di partecipazione a
concorsi pubblici, si possono presentare dichiarazioni sostitutive dei
carichi pendenti?
Si, in quanto tale adempimento non costituisce violazione della disciplina
sulla riservatezza.
Torna all'indice
|
