Decreto legislativo 30 giugno 2003, n° 196
A cura di Gabriella Burba
http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?solotesto=N
TUTELA DEI DATI PERSONALI
Un po' di storia
Nel 1970, il governo svedese decise di attribuire un codice di riconoscimento individuale a
tutti i cittadini (simile al nostro codice fiscale). Furono avviati una serie di programmi sociali,
tra i quali un progetto per l'archiviazione su "calcolatore" dei dati sanitari e delle cartelle
cliniche dei cittadini, con possibilità di accesso tramite terminali collegati alla rete telefonica
pubblica. In caso di emergenza (ad esempio in caso di incidente stradale) il medico del
pronto soccorso, utilizzando il codice personale del malato, poteva leggere i dati sanitari
dell'individuo ed intervenire. Qualche tempo dopo, fece notizia il caso di un cittadino che si
vide rifiutare un posto di lavoro perché nella sua cartella clinica elettronica era riportata
l'informazione che un prozio aveva mostrato sintomi di alterazione delle facoltà mentali.
La normativa sulla Privacy nacque quindi con lo scopo di evitare che i dati sensibili di ogni
individuo vengano utilizzati al di fuori dei fini per i quali questi dati sono stati raccolti.
Un’informazione utile dal punto di vista clinico, ad esempio, deve essere utilizzata solo ed
esclusivamente nell’ambito delle argomentazioni mediche.
La normativa sulla privacy in Italia
Malgrado le prime proposte volte a regolamentare la tutela della privacy in Italia risalgano
agli anni ’80, anche grazie alle iniziative di sensibilizzazione ed alle sollecitazioni provenienti
dall’Unione Europea, solo nel 1996 fu approvata la Legge N 675, cd. Codice di Protezione
della Privacy, che recepiva anche nel nostro paese i principi sanciti da una specifica Direttiva
Comunitaria in materia. Poi entrò in vigore il D. lgvo 135/1999 sul trattamento di dati
sensibili da parte di soggetti pubblici.
Più recentemente, l’ultimo provvedimento normativo del legislatore italiano in tema di tutela
della riservatezza individuale è stato il Decreto Legislativo N° 196 del Giugno 2003,
denominato “Codice in materia di protezione dei dati personali”.
Nel nuovo Codice sono stati delineati in modo più approfondito sia i principi generali che
alcune tematiche settoriali, già regolamentate dalla precedente legge (ad esempio, la
riservatezza nelle comunicazioni elettroniche).
Legge 241/90 integrata dalla L. 15/2005 (e successivo regolamento)
Nuove norme in materia di procedimento amministrativo e di diritto di
accesso ai documenti amministrativi
In vigore: da coordinare, per gli enti pubblici, con il Codice sulla privacy
Struttura
Il Codice si compone di 3 parti + Allegati:
Parte I – Disposizioni generali
Parte II – Disposizioni relative a specifici settori
Parte III – Tutela dell’interessato e sanzioni
Allegati
• Codici deontologici
• Disciplinare tecnico in materia di misure minime di
sicurezza
• Trattamenti non occasionali effettuati in ambito giudiziario o per
fini di polizia
La sicurezza dei dati personali non deve essere considerata come una serie di
ulteriore balzelli burocratici a cui dover adempiere acriticamente. Quello che il
Codice, in realtà, impone è un adattamento delle attività professionali ed aziendali
(private e pubbliche) alle nuove esigenze provenienti dalla moderna vita di
relazione. La società dell'informazione è costituita, infatti, da una fitta rete di
rapporti e relazioni interpersonali, reali e virtuali, in cui l'elemento primario è
l'informazione.
Alla luce della pacifica considerazione che le innovazioni tecnologiche hanno
prodotto contemporaneamente risultati positivi di estremo rilievo ed,
inevitabilmente, la nascita di nuove ed insidiose fonti di pericolo, meritano
estrema tutela, a causa della loro rilevanza, le informazioni personali.
È per questo motivo che il Codice della Privacy impone di adottare una serie di
misure tecniche, informatiche, organizzative, logistiche e procedurali, tendenti a
realizzare un livello di sicurezza proporzionato ai rischi previsti per il tipo di
attività che in concreto viene esercitata.
La sicurezza dei dati personali non è esclusivamente affidata alle misure di
sicurezza logiche (antivirus, password…) o fisiche (lucchetti, sistemi di
videosorveglianza…) ma anche e principalmente all'attenzione dell'operatore che
quotidianamente si trova a gestirli e "trattarli".
Comunicato stampa - 23 aprile 2009
Pizzetti: migliorare e rendere più effettiva
la protezione dei dati dei cittadini europei
•
•
•
•
•
"Occorre migliorare e rendere più effettiva la protezione dei dati personali dei cittadini
europei.." È quanto chiede Francesco Pizzetti, Presidente dell'Autorità italiana per la
privacy, intervenendo oggi alla annuale Conferenza di primavera delle Autorità
europee per la protezione dei dati in corso a Edimburgo.
"Lo scenario nel quale opera la Direttiva europea sulla protezione dei dati – ha
spiegato Pizzetti ai suoi omologhi europei – è in questi anni profondamente cambiato
e questo ha posto, pone e porrà problemi complessi di ridefinizione del significato
della protezione dei dati, del tipo di regole di cui abbiamo effettivamente bisogno, del
ruolo che devono svolgere le Autorità per la privacy".
L'Autorità italiana si muove già da tempo verso questi obiettivi…
Ma per aumentare la soglia di protezione dei dati sono necessarie profonde
innovazioni che non possono essere limitate al modo di operare delle Autorità o alla
revisione della stessa Direttiva europea in materia di privacy. Il Presidente Pizzetti
indica alcune priorità: regole vincolanti e garanzie certe in caso di utilizzo per finalità
di sicurezza di dati raccolti per scopi propri dai soggetti privati; regole comuni a
livello europeo per i dati trattati da privati nel rapporto di lavoro; rapporti più chiari
nello scambio di dati a fini commerciali anche in aeree extraeuropee. Infine, Internet:
Pizzetti auspica la definizione di regole internazionali, condivise e vincolanti, per il
trattamento elettronico dei dati e la creazione di un'Autorità sovranazionale in grado di
garantirne il rispetto e l'efficacia.
Edimburgo, 23 aprile 2009
Il punto 19.6 del Disciplinare Tecnico, allegato B al Codice della
Privacy, dispone "…la previsione di interventi formativi degli
incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi
dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi
sulle misure minime adottate dal titolare. La formazione è
programmata già al momento dell'ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi
significativi strumenti, rilevanti rispetto al trattamento di dati
personali".
Privacy: La formazione obbligatoria degli Incaricati al trattamento dei dati
La normativa su tutti gli Incaricati (art. 30) prevede che la loro nomina sia
accompagnata da adeguate istruzioni. Il Codice privacy
tratta della
formazione nell’allegato B , contenente il Disciplinare tecnico in materia di
misure minime di sicurezza. La regola
19.6 prevede
infatti interventi
formativi degli incaricati, per renderli edotti di una serie di argomenti. La stessa
regola stabilisce che la formazione deve essere programmata:
 all’inizio dell’applicazione del Codice privacy
 al momento dell’ingresso in servizio di un nuovo addetto,
 in occasione di cambiamenti di mansioni,
 in caso di introduzione di nuovi strumenti, rilevanti per il trattamento dei dati.
Inoltre, nel Documento Programmatico sulla Sicurezza (DPS)
è obbligatorio indicare le misure di sicurezza adottate e, fra
queste, gli interventi formativi previsti per preparare il
personale all’applicazione di tali misure.
Come premesso, la regola 19.6 è una delle misure minime di
sicurezza obbligatorie, quindi l’omissione costituisce reato
(comunque estinto con la regolarizzazione e il pagamento di
una sanzione, secondo la modifica dell’art. 169 effettuata nel
2009)
Requisiti della formazione
In conclusione, la lettura combinata delle varie disposizioni del Codice porta a definire i
seguenti requisiti. Ogni addetto deve ricevere adeguata formazione:
• di tipo
generale sulla disciplina della protezione dei dati personali, ma
specialmente focalizzata sugli aspetti più rilevanti in rapporto all’attività da lui svolta
• sulle responsabilità che ne derivano
• sui rischi che incombono sui dati e in particolare sui rischi specifici relativi alla sua
mansione
• sulle misure disponibili per prevenire eventi dannosi e in particolare su
quelle specifiche della sua mansione
• sulle modalità per aggiornarsi sulle misure di sicurezza adottate dal titolare (si noti
che il DPS va integrato al 31 marzo di ogni anno con miglioramenti progressivi delle
misure di sicurezza e dell’organizzazione, quindi al dipendente va spiegato cos’è e
come si legge il DPS)
• integrativa in caso di cambio di mansione
• integrativa in caso di introduzione di nuove tecnologie o nuove misure di
sicurezza che abbiano impatto significativo sul trattamento dei dati
• rinnovata e completa in caso di nuovo assunto (vale anche per i lavoratori temporanei
o supplenti).
• documentabile, perché – essendo una misura di sicurezza obbligatoria - in caso di
controllo (casuale o a seguito di un esposto) viene richiesta la prova dell’applicazione.
Definizioni (art. 4)
a)
b)
c)
d)
"trattamento", qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non registrati in una banca
dati
"dato personale", qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
"dati identificativi", i dati personali che permettono l'identificazione diretta
dell'interessato
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale
• e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti … in
materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
• f) "titolare", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza: nelle scuole il D.S.
• g) "responsabile", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo preposti dal
titolare al trattamento di dati personali: normalmente il DSGA
• h) "incaricati", le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile: docenti e personale ATA
• i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione
cui si riferiscono i dati personali: soprattutto gli studenti, ma anche fornitori e
dipendenti
• l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti
determinati diversi dall'interessato … per es. comunicare i nomi degli studenti
ad un museo
• m) "diffusione", il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma ... Per es. pubblicare sul sito i nomi
degli studenti aderenti ad un progetto
• n) "dato anonimo", il dato che in origine, o a seguito di trattamento,
non può essere associato ad un interessato identificato o identificabile;
• o) "blocco", la conservazione di dati personali con sospensione
temporanea di ogni altra operazione del trattamento;
• p) "banca di dati", qualsiasi complesso organizzato di dati personali,
ripartito in una o più unità dislocate in uno o più siti: per i docenti il
registro personale, per le segreterie gli archivi sia cartacei che
informatici
• omissis
• a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano il
livello minimo di protezione richiesto in relazione ai rischi previsti
nell'articolo 31: per es. riporre i registri in contenitori chiusi a chiave,
non salvare dati su pc. accessibili ad altri, non lasciare incustoditi
documenti con dati personali, chiudere a chiave gli archivi
Modalità del trattamento
• I dati personali oggetto di trattamento sono:
• a) trattati in modo lecito e secondo correttezza;
• b) raccolti e registrati per scopi determinati, espliciti e legittimi,
ed utilizzati in altre operazioni del trattamento in termini
compatibili con tali scopi;
• c) esatti e, se necessario, aggiornati;
• d) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati (principi di finalità,
necessità, proporzionalità, indispensabilità per i dati sensibili)
• e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
• 2. I dati personali trattati in violazione della disciplina rilevante
in materia di trattamento dei dati personali non possono essere
utilizzati.
Informativa
• L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
• a) le finalità e le modalità del trattamento cui sono destinati i dati;
• b) la natura obbligatoria o facoltativa del conferimento dei dati;
• c) le conseguenze di un eventuale rifiuto di rispondere;
• d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
• e) i diritti di cui all'articolo 7;
• f) gli estremi identificativi del titolare e, se designati, del rappresentante nel
territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare
ha designato più responsabili è indicato almeno uno di essi, indicando il sito
della rete di comunicazione o le modalità attraverso le quali è conoscibile in
modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un
responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui
all'articolo 7, è indicato tale responsabile.
Il Garante sanziona le informative incomplete
Occorre specificare bene modalità del trattamento e soggetti ai quali possono
essere comunicati i dati
L'informativa sulla privacy relativa a dati personali raccolti via web deve
contenere tutte le informazioni elencate nel Codice in materia di protezione dei
dati personali. Lo ha ribadito il Garante che ha ingiunto ad una società il
pagamento di seimila euro. La società, tramite il proprio sito web, raccoglieva i
dati personali di cittadini interessati a ricevere informazioni sui servizi offerti, che
riguardavano l'assistenza allo studio e la preparazione agli esami universitari. Nel
sito, in particolare, venivano raccolti indirizzi e-mail e numeri di telefonia
mobile, specificando che il recapito telefonico sarebbe stato utilizzato
esclusivamente "per un contatto da parte di un commerciale". Il Garante aveva
contestato alla società la violazione (omessa o inidonea informativa
all'interessato). La società non aveva dato corso al pagamento in misura ridotta e
si era anzi opposta sostenendo non solo che l'informativa proposta conteneva
tutte le informazioni specificate nel Codice, ma anche che gli indirizzi e-mail e i
numeri di cellulare non potessero essere definiti dati personali, sia perché non in
grado di identificare una persona, sia perché non compresi tra le tipologie
annoverate nella definizione di dato personale del Codice. Tali motivazioni sono
state ritenute inadeguate a giustificare il comportamento dell'azienda.
Art. 7
Diritto di accesso ai dati personali ed altri diritti
• L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile.
• 2. L'interessato ha diritto di ottenere l'indicazione:
• a) dell'origine dei dati personali;
• b) delle finalità e modalità del trattamento;
• c) della logica applicata in caso di trattamento effettuato con l'ausilio di
strumenti elettronici;
• d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell'articolo 5, comma 2;
• e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
•3. L'interessato ha diritto di ottenere:
•a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione
dei dati;
•b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati
trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
•c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela
impossibile o comporta un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
•4. L'interessato ha diritto di opporsi, in tutto o in parte:
•a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
•b) al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale
OGGETTO: ESERCIZIO DI DIRITTI IN MATERIA DI
PROTEZIONE DEI DATI PERSONALI (artt. 7 e 8 del Codice)
DISCIPLINA PREVISTA PER GLI ENTI
PUBBLICI NON ECONOMICI
• Per gli enti pubblici la normativa sulla privacy va armonizzata con quella
precedente riguardante la trasparenza amministrativa
• Gli enti pubblici, in particolare le scuole, non hanno bisogno di ottenere il
consenso per il trattamento dei dati inerenti alle loro finalità istituzionali
(diversamente dai privati che devono sempre ottenere il consenso)
• Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se
autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di
dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante
interesse pubblico perseguite
• Inoltre gli enti pubblici devono dotarsi di regolamenti per il trattamento dei dati
sensibili. Dopo vari rinvii, il MPI ha adottato il regolamento con decreto 305 del
7/12/2006, G.U. 11 del 15/01/2007. Il termine ultimo per adeguarsi al regolamento
era il 28/02/2007.
DISCIPLINA SPECIFICA PER L’ISTRUZIONE
• Art. 95. Dati sensibili e giudiziari
• 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le
finalità di istruzione e di formazione in ambito scolastico, professionale, superiore
o universitario, con particolare riferimento a quelle svolte anche in forma
integrata.
• Art. 96. Trattamento di dati relativi a studenti
• 1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale,
anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su
richiesta degli interessati, possono comunicare o diffondere, anche a privati e per
via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e
altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione
alle predette finalità e indicati nell'informativa resa agli interessati ai sensi
dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per
le predette finalità.
• 2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del decreto del
Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello
studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia
di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e
di rilascio di diplomi e certificati.
Autorizzazione n. 1/2008 al trattamento dei dati sensibili
nei rapporti di lavoro - 19 giugno 2008
(G.U. n. 169 del 21 luglio 2008 - supp. ord. n. 175)
• 3) Finalità del trattamento
Il trattamento dei dati sensibili deve essere indispensabile:
• a) per adempiere o per esigere l'adempimento di specifici
obblighi o per eseguire specifici compiti previsti dalla
normativa comunitaria, da leggi, da regolamenti o da
contratti collettivi anche aziendali, in particolare ai fini
dell'instaurazione, gestione ed estinzione del rapporto di
lavoro, nonché dell'applicazione della normativa in materia
di previdenza ed assistenza anche integrativa, o in materia
di igiene e sicurezza del lavoro o della popolazione,
nonché in materia fiscale, sindacale, di tutela della salute,
dell'ordine e della sicurezza pubblica;
IL REGOLAMENTO SUI DATI
SENSIBILI E GIUDIZIARI
Il testo del Regolamento, molto snello ed essenziale, è suddiviso in 3 articoli
nei quali si richiama il D.L.vo 196/03 e si sottolinea l’obbligo di trattare dati
sensibili e giudiziari solo previa verifica della loro pertinenza, completezza e
indispensabilità rispetto alle finalità perseguite nei singoli casi, specie quando
la raccolta non avvenga presso l’interessato. (art. 2)
• Sono parte integrante del Regolamento 7 schede che individuano tutti i dati
sensibili e giudiziari trattati dalle scuole, suddividendoli in ambiti:
Scheda n. 1 – Selezione e reclutamento a TI e TD e gestione del rapporto di
lavoro;
Scheda n. 2 – Gestione del contenzioso e procedimenti disciplinari;
Scheda n. 3 – Organismi collegiali e commissioni istituzionali;
Scheda n. 4 – Attività propedeutiche all’avvio dell’anno scolastico;
Scheda n. 5 – Attività educativa, didattica e formativa e di valutazione;
Scheda n. 6 – Scuole non statali (relativamente agli eventuali dati sensibili e
giudiziari che emergono nell’attività di vigilanza e controllo effettuata
dall’Amministrazione e dai dirigenti scolastici delle scuole primarie incaricati
della vigilanza sulle scuole non statali autorizzate);
• Scheda n. 7 – Rapporti Scuola-Famiglie: gestione del contenzioso.
ADEMPIMENTI SUCCESSIVI AL REGOLAMENTO
• Necessario adeguare documenti e attività della scuola alle norme del
regolamento.
• La conoscenza del Regolamento dev’essere oggetto dell’attività di
formazione del personale incaricato prevista dal D.L.vo 196/03;
• Nell’informativa agli interessati si fa riferimento al rispetto da parte della
scuola alle prescrizione del Regolamento;
• Si dà evidenza dell’aggiornamento del Documento Programmatico per la
Sicurezza nella relazione al programma annuale. Tale adempimento va
fatto entro il 31 marzo.
• Il Dirigente scolastico effettua verifiche periodiche del rispetto delle
istruzioni impartite, di cui all'articolo 29 comma 5 del Dlgs 196/2003.
• Va fatto un aggiornamento periodico, almeno annuale, dei trattamenti
consentiti ai singoli incaricati (Punti 15 e 27 del Disciplinare Tecnico
allegato B del Codice) e degli eventuali diversi profili di autorizzazione
per l'accesso ai dati trattati in formato elettronico (Punto 14 del
Disciplinare Tecnico allegato B del Codice).
Modalità trattamento dati sensibili (Art.
22 D. lgvo)
Nel fornire l'informativa di cui all'articolo 13 soggetti pubblici fanno espresso
riferimento alla normativa che prevede gli obblighi o i compiti in base alla
quale è effettuato il trattamento dei dati sensibili e giudiziari.
I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti
con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici identificativi o di altre soluzioni che,
considerato il numero e la natura dei dati trattati, li rendono temporaneamente
inintelligibili anche a chi è autorizzato ad accedervi e permettono di
identificare gli interessati solo in caso di necessità.
I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati
separatamente da altri dati personali trattati per finalità che non richiedono il
loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6
anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di
strumenti elettronici.
I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Molte falsità sulla privacy a scuola". Il Garante: una leggenda metropolitana
"Non è vero che i voti scolastici devono restare segreti, non è vero che gli studenti
devono 'nascondere' la propria fede religiosa, non è vero che i risultati degli scrutini
devono rimanere clandestini". Secca smentita del Garante alle notizie del tutto
infondate riguardanti la privacy nelle scuole.
Non esiste alcun provvedimento del Garante che imponga di tenere segreti i voti
dei compiti in classe, delle interrogazioni o gli scrutini, né di consegnarli agli
alunni in busta chiusa.
Dal 1997 il Garante si sforza, anche con comunicati stampa, di ricordare che i
risultati degli scrutini – che non sono, peraltro, dati sensibili, soggetti a speciali
tutele - devono essere al contrario pubblicati anche dopo l'avvento della normativa
sulla privacy, essendo ciò previsto da una specifica disciplina in materia e
rispondendo a principi di trasparenza.
Il diritto al lavoro e, quindi, il diritto alla difesa dello stesso, sono
costituzionalmente garantiti (art. 4 e 24 della Costituzione) e, pertanto,
prevalgono sul diritto alla riservatezza.
I docenti controinteressati hanno diritto di prendere visione della documentazione
presentata da altri colleghi che beneficiano della legge 104/92.
La tutela dei dati sensibili come quelli idonei a rivelare lo stato di salute viene
sacrificata se la ricorrente agisce per tutelare il proprio diritto al lavoro. Questa è la
motivazione che si legge nella decisione del Consiglio di Stato n. 5323 del
27/10/2006 che ha respinto il ricorso presentato in appello dal MIUR.
Il Consiglio di Stato, ha confermato quanto già deciso in primo grado dal Tar
Lazio che aveva accolto il ricorso di una docente alla quale la scuola aveva negato
per motivi di privacy l’accesso alla documentazione di una docente intenzionata a
verificare il diritto di una altra collega (inserimento nelle graduatorie di istituto) a
beneficiare delle priorità di cui alla legge 104/92.
MISURE MINIME DI SICUREZZA
• Art. 34. Trattamenti con strumenti elettronici
• 1. Il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B), le seguenti misure minime:
• a) autenticazione informatica; (password)
• b) adozione di procedure di gestione delle credenziali di autenticazione;
• c) utilizzazione di un sistema di autorizzazione;
• d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
• e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
di dati, ad accessi non consentiti e a determinati programmi informatici;
• f) adozione di procedure per la custodia di copie di sicurezza (back up), il
ripristino della disponibilità dei dati e dei sistemi;
• g) tenuta di un aggiornato documento programmatico sulla sicurezza
• h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.
TRATTAMENTI CON STRUMENTI ELETTRONICI
MISURA DI
SICUREZZA
DESCRIZIONE
E/O ESEMPIO
AGGIORNAMENTO
E NOTE
NORME
(Alleg. B)
Sistema di
autenticazione
Informatica
User-ID e Password
Periodico
(almeno annuale)
N.B.: in caso di trattamento di
dati sensibili e giudiziari la
password deve essere
modificata ogni 3 mesi
Sistema di
autorizzazione
Creazione e gestione di diversi
profili “utente” con poteri di
accesso/modifica ai dati e ai
programmi differenziati in
base alle effettive mansioni e
responsabilità assegnate
Periodico
(almeno annuale)
Per maggiori dettagli si rinvia alle disposizioni
da n.12 a n.14
Sistema di
protezione contro i
software dannosi
ai sensi dell’art.
615 quinquies c.p.
(virus, worm, trojan
horse…)
Antivirus e altri strumenti
elettronici (software e/o
hardware) tesi ad impedire
l’infezione e la diffusione di
programmi dannosi.
Periodico
(almeno semestrale)
Per maggiori dettagli si rinvia alla disposizione
n. 16
Per maggiori dettagli si rinvia alle disposizioni
da n.1 a n. 11 e n. 15
Firewall ed altri strumenti
elettronici (software e/o
hardware) tesi ad impedire
l’accesso abusivo ai dati
sensibili e giudiziari (in
quest’ampia definizione
rientrano in astratto anche i
sistemi “Intrusion Detection
Sstems”)
Periodico
(almeno semestrale)
Sistema di
aggiornamento
periodico dei
programmi volti
a prevenire le
vulnerabilità
I software utilizzati (dal
sistema operativo ai vari
software applicativi) devono
essere costantemente
aggiornati per eliminarne le
vulnerabilità.
Periodico
(almeno annuale)
N.B.: in caso di
trattamento di dati
sensibili e giudiziari
l’aggiornamento deve
essere almeno semestrale
Sistema di
back up
Salvataggio (copia) dei dati su
supporti di sicurezza.
Sistema di
protezione
contro accessi
abusivi
(art. 615 ter
c.p.)
Disaster
Recovery
DPS
Periodico
(almeno settimanale)
Adozione di misure idonee
per il ripristino della
disponibilità dei dati
sensibili o giudiziari in
seguito a distruzione o
danneggiamento.
N.B.: l’accesso ai dati deve
essere ripristinato entro e non
oltre 7 gg.
Redazione di un documento
organico che, partendo da
un’attenta analisi dei rischi
del sistema, metta in risalto
le contromisure tecniche e
procedurali idonee a
prevenirli e contenerli.
Periodico
( entro il 31 marzo di
ogni anno)
Per maggiori dettagli si rinvia alle disposizioni da
n. 20
Per maggiori dettagli si rinvia alla disposizione
n. 17
Per maggiori dettagli si rinvia alla disposizione
n. 18
Per maggiori dettagli si rinvia alle disposizioni da
n.21 a 23
Per maggiori dettagli si rinvia alle disposizioni da
n. 19 a n. 19.8
Lavoro: linee guida del Garante per posta elettronica e internet
Registro delle deliberazioni Del. n. 13 del 1° marzo 2007
• I datori di lavoro pubblici e privati non possono controllare la posta elettronica e
la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al
datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei
diritti dei lavoratori e della disciplina in tema di relazioni sindacali.
• L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e
in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della
posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante
vieta poi la lettura e la registrazione sistematica delle e-mail così come
il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché
ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo
Statuto dei lavoratori.
• Il provvedimento raccomanda l'adozione da parte delle aziende di un
disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali,
nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta
elettronica.
•Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire
il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per
quanto riguarda Internet è opportuno ad esempio:
•individuare preventivamente i siti considerati correlati o meno con la prestazione
lavorativa;
•utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti
in una sorta di black list o il download di file musicali o multimediali.
•Per quanto riguarda la posta elettronica, è opportuno che l'azienda:
•renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected];
[email protected]; [email protected]), rendendo così chiara la natura non privata
della corrispondenza;
•valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di
lavoro), destinato ad un uso personale;
•preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le
coordinate di altri lavoratori cui rivolgersi;
•metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a
verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli
ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del
lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.
"Linee guida in materia di trattamento di dati personali di
lavoratori per finalità di gestione del rapporto di lavoro in
ambito pubblico" - 14 giugno 2007
(G.U. 13 luglio 2007, n. 161)
• 3. È necessario che ogni lavoratore sia preposto per
iscritto, in qualità di "incaricato", alle operazioni di
trattamento e sia debitamente istruito in ordine all'accesso
e all'utilizzo delle informazioni personali di cui può venire
a conoscenza nello svolgimento della propria prestazione
lavorativa. La designazione degli incaricati può essere
effettuata nominativamente o, specie nell'ambito di
strutture organizzative complesse, mediante atti di
preposizione del lavoratore a unità organizzative per le
quali venga altresì previamente individuato, per iscritto,
l'ambito del trattamento consentito (art. 30 del Codice).
5.2 Rapporti con le organizzazioni
sindacali
• Ad esclusione dei casi in cui il contratto collettivo applicabile
preveda espressamente che l'informazione sindacale abbia ad
oggetto anche dati nominativi del personale per verificare la
corretta attuazione di taluni atti organizzativi, l'amministrazione
può fornire alle organizzazioni sindacali dati numerici o
aggregati e non anche quelli riferibili ad uno o più lavoratori
individuabili. É il caso, ad esempio, delle informazioni inerenti
ai sistemi di valutazione dell'attività dei dirigenti, alla
ripartizione delle ore di straordinario e alle relative prestazioni,
nonché all'erogazione dei trattamenti accessori .
• Resta disponibile per l'organizzazione sindacale anche la
possibilità di presentare istanze di accesso a dati personali
attinenti ad uno o più lavoratori su delega o procura (art. 9,
comma 2, del Codice), come pure la facoltà di esercitare il diritto
d'accesso a documenti amministrativi in materia di gestione del
personale …
Dati relativi a concorsi e selezioni
• Nel quadro delle attività delle pubbliche amministrazioni si
procede comunque, di regola, alla pubblicazione di graduatorie e
di esiti di concorsi e selezioni pubbliche.
• Nell'utilizzare tale strumento (Internet) di diffusione occorre,
quindi, prevedere forme adeguate di selezione delle
informazioni che potrebbero essere altrimenti aggregate
massivamente mediante un comune motore di ricerca esterno ai
siti. Si pensi alle pagine web contenenti dati relativi a esiti,
graduatorie e giudizi di valutazione, che in termini generali
dovrebbero essere conosciute più appropriatamente solo
consultando un determinato sito Internet, oppure attribuendo
solo alle persone interessate una chiave personale di accesso (a
vari dati relativi alla procedura, oppure solo a quelli che li
riguardano), o predisponendo, nei siti istituzionali, aree ad
accesso parimenti selezionato nelle quali possono essere
riportate ulteriori informazioni accessibili anche ai
controinteressati
Cartellini identificativi
• Nel selezionare i dati personali destinati ad essere
diffusi attraverso i cartellini identificativi, le
amministrazioni sono tenute a rispettare i princìpi di
pertinenza e non eccedenza dei dati in rapporto alle
finalità perseguite (art. 11 del Codice), specie in
assenza di necessarie disposizioni di legge o
regolamento che prescrivano l'adozione per
determinati dipendenti di cartellini identificativi e ne
individuino eventualmente anche il relativo contenuto.
27 Febbraio 2009
È da oggi entrata in vigore una nuova legge che prevede
che il personale delle pubbliche amministrazioni a contatto
con il pubblico debba indossare un cartellino identificativo
ed esporre sulla scrivania una targa con nome e cognome.
Dati idonei a rivelare lo stato di salute
• Proibita la diffusione
• No a indicazioni su categorie protette nelle
graduatorie
• Sui certificati non diagnosi, ma solo
prognosi
MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI
TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI
RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI
AMMINISTRATORE DI SISTEMA - 27 NOVEMBRE 2008
(G.U. n. 300 del 24 dicembre 2008)
(così modificato in base al provvedimento del 25 giugno 2009)
• a. Valutazione delle caratteristiche soggettive
• L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa
valutazione delle caratteristiche di esperienza, capacità e affidabilità del
soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto
delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza
• b. Designazioni individuali
• c. Elenco degli amministratori di sistema nel DPS
• d. Servizi in outsourcing
• Nel caso di servizi di amministrazione di sistema affidati in outsourcing il
titolare deve conservare direttamente e specificamente, per ogni eventuale
evenienza, gli estremi identificativi delle persone fisiche preposte quali
amministratori di sistema.
• e. Verifica delle attività (almeno annuale)
• f. Registrazione degli accessi
• Art. 35. Trattamenti senza l'ausilio di strumenti elettronici
1. Il trattamento di dati personali effettuato senza l'ausilio di
strumenti elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
• a) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati o alle unità
organizzative;
• b) previsione di procedure per un'idonea custodia di atti e
documenti affidati agli incaricati per lo svolgimento dei relativi
compiti; (stipetti per i registri personali)
• c) previsione di procedure per la conservazione di determinati atti
in archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all'identificazione degli incaricati. (accesso
regolamentato alle segreterie)
• Si sottolinea che persone diverse dagli incaricati non possono
accedere ad archivi di dati (quaderni dei verbali e in generale
documenti custoditi nelle segreterie)
TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI
ELETTRONICI
MISURA DI
SICUREZZA
DESCRIZIO
NE
E/O
ESEMPIO
Redazione di istruzioni
scritte agli incaricati
Redazione di istruzioni
scritte finalizzate al
controllo e alla custodia
dei documenti contenenti
dati personali
Sistema di accesso
selezionato e controllato
agli archivi
L’accesso agli archivi
contenenti dati sensibili o
giudiziari deve essere
controllato. In mancanza di
strumenti elettronici per il
controllo degli accessi o di
incaricati alla vigilanza le
persone che vi accedono
devono essere
preventivamente autorizzate.
AGGIORNA
MENTO
Periodico
(almeno annuale)
“…”
NORMA
(Alleg. B)
Per maggiori
dettagli si rinvia
alle disposizioni
da n.27 a n. 28
Per maggiori
dettagli si rinvia
alla disposizione
n.29
Possibili conseguenze di una raccolta
illecita di dati
Questionari a scuola e garanzie per alunni e genitori
Il Garante blocca la pubblicazione di una tesi di laurea perché i dati
erano stai raccolti in modo illecito
Bloccati dal Garante per trattamento illecito di dati personali alcuni
risultati di una ricerca universitaria, svolta in una scuola
elementare e riportati in una tesi di laurea in via di pubblicazione.
Gli alunni, e di conseguenza i genitori, non erano stati informati
né degli scopi dell'iniziativa, né del fatto che la loro
partecipazione era facoltativa e non obbligatoria.
Le conseguenze, in alcuni casi, possono diventare ben più gravi,
essendo previste sanzioni amministrative molto rilevanti (ad es.
per omessa informativa all’interessato), sanzioni penali (per es.
per l’omissione delle misure minime di sicurezza), oltre alle
azioni di risarcimento danni per chi ne abbia titolo. La
responsabilità civile è una responsabilità oggettiva (per
l’esercizio di attività pericolose), per cui si prescinde dal dolo o
dalla colpa.
SANZIONI
•
•
•
•
•
•
Art. 161. Omessa o inidonea informativa all'interessato (1)
1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione
amministrativa del pagamento di una somma da seimila euro a trentaseimila
euro.
Art. 169. Misure di sicurezza (1)
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a due anni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche
con successivo atto del Garante, è impartita una prescrizione fissando un
termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente
necessario, prorogabile in caso di particolare complessità o per l'oggettiva
difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta
giorni successivi allo scadere del termine, se risulta l'adempimento alla
prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari
al quarto del massimo della sanzione stabilita per la violazione
amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo
che impartisce la prescrizione e il pubblico ministero provvedono nei modi di
cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994,
n. 758, e successive modificazioni, in quanto applicabili.
(1) Così modificati dalla legge 27 febbraio 2009, n. 14 di conversione, con
modificazioni, del decreto-legge n. 207 del 30 dicembre 2008
STUDENTI E PRIVACY
Circolare 15/03/07, Direttiva 30/11/07
• Possibili violazioni di norme da parte degli studenti (cellulari e
video)
 Codice privacy (obbligatori l’informazione e il consenso, scritto
se si tratta di dati sensibili)
• L’inosservanza
dell’obbligo
di
preventiva
informativa
all’interessato comporta il pagamento di una sanzione
amministrativa che va da un importo minimo di 3.000 (ora 6.000
euro) sino ad un massimo di 18.000 (ora 36.000 euro)…
• Resta salvo un eventuale risarcimento danni.
• Restano esclusi da tale normativa i dati raccolti per fini personali
e non per la diffusione (ad es. youtube)
STUDENTI E PRIVACY
Codice Civile e Legge sui diritti d’autore
 Articolo 10 C.C. Abuso dell'immagine altrui
(risarcimento danni ex art. 2043 “neminem laedere”)
 Diritto d’autore: necessario consenso per il ritratto di
una persona a meno che non si tratti di persone
“pubbliche”, eventi pubblici, scopi scientifici, didattici
e culturali
STUDENTI E PRIVACY
Codice penale
a. l’indebita raccolta, la rivelazione e la diffusione
di immagini attinenti alla vita privata che si
svolgono in abitazioni altrui o in altri luoghi di
privata dimora (art. 615-bis codice penale);
b. il possibile reato di ingiurie, in caso di particolari
messaggi inviati per offendere l’onore o il decoro
del destinatario (art. 594 codice penale);
c. le pubblicazioni oscene (art. 528 codice penale);
d. la tutela dei minori riguardo al materiale
pornografico (artt. 600-ter codice penale; legge
3agosto 1998, n. 269).
SENTENZE
• Gravi responsabilità dei genitori ex art. 2048 c.c.:
• - Culpa in educando: “l'affidamento del minore alla
custodia di terzi solleva il genitore dalla presunzione di
colpa "in vigilando", ma non anche da quella di colpa "in
educando", rimanendo comunque i genitori tenuti a
dimostrare, per liberarsi da responsabilità per il fatto
compiuto dal minore in un momento in cui lo stesso si
trovava soggetto alla vigilanza di terzi, di avere impartito
al minore stesso un'educazione adeguata a prevenirne
comportamenti illeciti” Cassazione civile n. 12501/2000
ADEMPIMENTI INDISPENSABILI
DELLA SCUOLA
• Previsto da statuto degli studenti, da Circolare
15.03.2007 e precisato da giurisprudenza (Cassazione
civile , sez. III, 14 ottobre 2003, n. 15321):
• La scuola non soltanto può, ma ha addirittura l’obbligo
di predisporre tutte le misure disciplinari e
organizzative idonee e necessarie al fine di proteggere
l’incolumità degli alunni e di consentire che
l’insegnante sia posto in condizione di evitare pericoli
per gli allievi. E, per non incorrere in responsabilità, ha
l’onere di dimostrare di averle adottate tutte in via
preventiva, con un regolamento rigido
PARERE AVV. MARCO
CUNIBERTI
• Per cui il regolamento può (anzi, DEVE) prevedere:
• - divieto di ingresso di videofonini (al limite sì ai MERI
telefonini, ma divieto assoluto di accenderli all’interno
dei locali scolastici) e foto/videocamere (d’altronde se il
ragazzo deve telefonare con urgenza ai genitori o
viceversa, può essere utilizzato il telefono della scuola)
• - ritiro da parte degli insegnanti in caso di violazione, e
custodia in modo/luogo sicuro e consegna solo ai
genitori, oltre a grave sanzione disciplinare.
• - Informativa privacy ai genitori completa e loro
consenso a tale trattamento da parte della scuola
Art. 2050 Responsabilità per l'esercizio di attività pericolose
Chiunque cagiona danno ad altri nello svolgimento di un'attività
pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al
risarcimento, se non prova di avere adottato tutte le misure idonee a
evitare il danno.
•
•
•
•
•
Può l’insegnante controllare il videofonino del ragazzo e, ledendo la sua privacy, vedere
il contenuto del filmato/foto?
Sembrerebbe di sì, applicando i principi suesposti.
La foto o il filmato di terzi (compagni-professori-terzi) da parte dell’alunno rappresenta
senz’altro un trattamento di dati personali delle persone riprese, per cui un’attività dalla
legge ritenuta pericolosa di per sé (per la quale è prevista addirittura la responsabilità ex
art. 2050 c.c.)
Criterio: l’insegnante deve (per cui può) intervenire tutte le volte in cui, se si verificasse
il danno, la scuola sarebbe responsabile, cioè tutte le volte in cui potrebbe essere
contestato alla scuola (con una valutazione caso per caso) che avrebbe potuto impedire
il fatto. Deve infatti provare di aver adempiuto l’obbligo di vigilanza sugli scolari con
una diligenza idonea (nel caso concreto) ad impedire il fatto illecito
Avv. Marco Cuniberti -
“I telefonini in classe? Invece di proibirli adotterei una cura omeopatica:
contrastare la tecnologia con la tecnologia, schermando la scuola con un sistema
che impedisca di effettuare telefonate o inviare messaggi durante le ore di
lezione. L’ho già fatto in passato e posso garantire che funziona”.