Decreto legislativo 30 giugno 2003, n° 196 A cura di Gabriella Burba http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?solotesto=N TUTELA DEI DATI PERSONALI Un po' di storia Nel 1970, il governo svedese decise di attribuire un codice di riconoscimento individuale a tutti i cittadini (simile al nostro codice fiscale). Furono avviati una serie di programmi sociali, tra i quali un progetto per l'archiviazione su "calcolatore" dei dati sanitari e delle cartelle cliniche dei cittadini, con possibilità di accesso tramite terminali collegati alla rete telefonica pubblica. In caso di emergenza (ad esempio in caso di incidente stradale) il medico del pronto soccorso, utilizzando il codice personale del malato, poteva leggere i dati sanitari dell'individuo ed intervenire. Qualche tempo dopo, fece notizia il caso di un cittadino che si vide rifiutare un posto di lavoro perché nella sua cartella clinica elettronica era riportata l'informazione che un prozio aveva mostrato sintomi di alterazione delle facoltà mentali. La normativa sulla Privacy nacque quindi con lo scopo di evitare che i dati sensibili di ogni individuo vengano utilizzati al di fuori dei fini per i quali questi dati sono stati raccolti. Un’informazione utile dal punto di vista clinico, ad esempio, deve essere utilizzata solo ed esclusivamente nell’ambito delle argomentazioni mediche. La normativa sulla privacy in Italia Malgrado le prime proposte volte a regolamentare la tutela della privacy in Italia risalgano agli anni ’80, anche grazie alle iniziative di sensibilizzazione ed alle sollecitazioni provenienti dall’Unione Europea, solo nel 1996 fu approvata la Legge N 675, cd. Codice di Protezione della Privacy, che recepiva anche nel nostro paese i principi sanciti da una specifica Direttiva Comunitaria in materia. Poi entrò in vigore il D. lgvo 135/1999 sul trattamento di dati sensibili da parte di soggetti pubblici. Più recentemente, l’ultimo provvedimento normativo del legislatore italiano in tema di tutela della riservatezza individuale è stato il Decreto Legislativo N° 196 del Giugno 2003, denominato “Codice in materia di protezione dei dati personali”. Nel nuovo Codice sono stati delineati in modo più approfondito sia i principi generali che alcune tematiche settoriali, già regolamentate dalla precedente legge (ad esempio, la riservatezza nelle comunicazioni elettroniche). Legge 241/90 integrata dalla L. 15/2005 (e successivo regolamento) Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi In vigore: da coordinare, per gli enti pubblici, con il Codice sulla privacy Struttura Il Codice si compone di 3 parti + Allegati: Parte I – Disposizioni generali Parte II – Disposizioni relative a specifici settori Parte III – Tutela dell’interessato e sanzioni Allegati • Codici deontologici • Disciplinare tecnico in materia di misure minime di sicurezza • Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia La sicurezza dei dati personali non deve essere considerata come una serie di ulteriore balzelli burocratici a cui dover adempiere acriticamente. Quello che il Codice, in realtà, impone è un adattamento delle attività professionali ed aziendali (private e pubbliche) alle nuove esigenze provenienti dalla moderna vita di relazione. La società dell'informazione è costituita, infatti, da una fitta rete di rapporti e relazioni interpersonali, reali e virtuali, in cui l'elemento primario è l'informazione. Alla luce della pacifica considerazione che le innovazioni tecnologiche hanno prodotto contemporaneamente risultati positivi di estremo rilievo ed, inevitabilmente, la nascita di nuove ed insidiose fonti di pericolo, meritano estrema tutela, a causa della loro rilevanza, le informazioni personali. È per questo motivo che il Codice della Privacy impone di adottare una serie di misure tecniche, informatiche, organizzative, logistiche e procedurali, tendenti a realizzare un livello di sicurezza proporzionato ai rischi previsti per il tipo di attività che in concreto viene esercitata. La sicurezza dei dati personali non è esclusivamente affidata alle misure di sicurezza logiche (antivirus, password…) o fisiche (lucchetti, sistemi di videosorveglianza…) ma anche e principalmente all'attenzione dell'operatore che quotidianamente si trova a gestirli e "trattarli". Comunicato stampa - 23 aprile 2009 Pizzetti: migliorare e rendere più effettiva la protezione dei dati dei cittadini europei • • • • • "Occorre migliorare e rendere più effettiva la protezione dei dati personali dei cittadini europei.." È quanto chiede Francesco Pizzetti, Presidente dell'Autorità italiana per la privacy, intervenendo oggi alla annuale Conferenza di primavera delle Autorità europee per la protezione dei dati in corso a Edimburgo. "Lo scenario nel quale opera la Direttiva europea sulla protezione dei dati – ha spiegato Pizzetti ai suoi omologhi europei – è in questi anni profondamente cambiato e questo ha posto, pone e porrà problemi complessi di ridefinizione del significato della protezione dei dati, del tipo di regole di cui abbiamo effettivamente bisogno, del ruolo che devono svolgere le Autorità per la privacy". L'Autorità italiana si muove già da tempo verso questi obiettivi… Ma per aumentare la soglia di protezione dei dati sono necessarie profonde innovazioni che non possono essere limitate al modo di operare delle Autorità o alla revisione della stessa Direttiva europea in materia di privacy. Il Presidente Pizzetti indica alcune priorità: regole vincolanti e garanzie certe in caso di utilizzo per finalità di sicurezza di dati raccolti per scopi propri dai soggetti privati; regole comuni a livello europeo per i dati trattati da privati nel rapporto di lavoro; rapporti più chiari nello scambio di dati a fini commerciali anche in aeree extraeuropee. Infine, Internet: Pizzetti auspica la definizione di regole internazionali, condivise e vincolanti, per il trattamento elettronico dei dati e la creazione di un'Autorità sovranazionale in grado di garantirne il rispetto e l'efficacia. Edimburgo, 23 aprile 2009 Il punto 19.6 del Disciplinare Tecnico, allegato B al Codice della Privacy, dispone "…la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali". Privacy: La formazione obbligatoria degli Incaricati al trattamento dei dati La normativa su tutti gli Incaricati (art. 30) prevede che la loro nomina sia accompagnata da adeguate istruzioni. Il Codice privacy tratta della formazione nell’allegato B , contenente il Disciplinare tecnico in materia di misure minime di sicurezza. La regola 19.6 prevede infatti interventi formativi degli incaricati, per renderli edotti di una serie di argomenti. La stessa regola stabilisce che la formazione deve essere programmata: all’inizio dell’applicazione del Codice privacy al momento dell’ingresso in servizio di un nuovo addetto, in occasione di cambiamenti di mansioni, in caso di introduzione di nuovi strumenti, rilevanti per il trattamento dei dati. Inoltre, nel Documento Programmatico sulla Sicurezza (DPS) è obbligatorio indicare le misure di sicurezza adottate e, fra queste, gli interventi formativi previsti per preparare il personale all’applicazione di tali misure. Come premesso, la regola 19.6 è una delle misure minime di sicurezza obbligatorie, quindi l’omissione costituisce reato (comunque estinto con la regolarizzazione e il pagamento di una sanzione, secondo la modifica dell’art. 169 effettuata nel 2009) Requisiti della formazione In conclusione, la lettura combinata delle varie disposizioni del Codice porta a definire i seguenti requisiti. Ogni addetto deve ricevere adeguata formazione: • di tipo generale sulla disciplina della protezione dei dati personali, ma specialmente focalizzata sugli aspetti più rilevanti in rapporto all’attività da lui svolta • sulle responsabilità che ne derivano • sui rischi che incombono sui dati e in particolare sui rischi specifici relativi alla sua mansione • sulle misure disponibili per prevenire eventi dannosi e in particolare su quelle specifiche della sua mansione • sulle modalità per aggiornarsi sulle misure di sicurezza adottate dal titolare (si noti che il DPS va integrato al 31 marzo di ogni anno con miglioramenti progressivi delle misure di sicurezza e dell’organizzazione, quindi al dipendente va spiegato cos’è e come si legge il DPS) • integrativa in caso di cambio di mansione • integrativa in caso di introduzione di nuove tecnologie o nuove misure di sicurezza che abbiano impatto significativo sul trattamento dei dati • rinnovata e completa in caso di nuovo assunto (vale anche per i lavoratori temporanei o supplenti). • documentabile, perché – essendo una misura di sicurezza obbligatoria - in caso di controllo (casuale o a seguito di un esposto) viene richiesta la prova dell’applicazione. Definizioni (art. 4) a) b) c) d) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale • e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti … in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; • f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza: nelle scuole il D.S. • g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali: normalmente il DSGA • h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile: docenti e personale ATA • i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali: soprattutto gli studenti, ma anche fornitori e dipendenti • l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato … per es. comunicare i nomi degli studenti ad un museo • m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma ... Per es. pubblicare sul sito i nomi degli studenti aderenti ad un progetto • n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; • o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; • p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti: per i docenti il registro personale, per le segreterie gli archivi sia cartacei che informatici • omissis • a) "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31: per es. riporre i registri in contenitori chiusi a chiave, non salvare dati su pc. accessibili ad altri, non lasciare incustoditi documenti con dati personali, chiudere a chiave gli archivi Modalità del trattamento • I dati personali oggetto di trattamento sono: • a) trattati in modo lecito e secondo correttezza; • b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; • c) esatti e, se necessario, aggiornati; • d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati (principi di finalità, necessità, proporzionalità, indispensabilità per i dati sensibili) • e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. • 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Informativa • L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: • a) le finalità e le modalità del trattamento cui sono destinati i dati; • b) la natura obbligatoria o facoltativa del conferimento dei dati; • c) le conseguenze di un eventuale rifiuto di rispondere; • d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; • e) i diritti di cui all'articolo 7; • f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile. Il Garante sanziona le informative incomplete Occorre specificare bene modalità del trattamento e soggetti ai quali possono essere comunicati i dati L'informativa sulla privacy relativa a dati personali raccolti via web deve contenere tutte le informazioni elencate nel Codice in materia di protezione dei dati personali. Lo ha ribadito il Garante che ha ingiunto ad una società il pagamento di seimila euro. La società, tramite il proprio sito web, raccoglieva i dati personali di cittadini interessati a ricevere informazioni sui servizi offerti, che riguardavano l'assistenza allo studio e la preparazione agli esami universitari. Nel sito, in particolare, venivano raccolti indirizzi e-mail e numeri di telefonia mobile, specificando che il recapito telefonico sarebbe stato utilizzato esclusivamente "per un contatto da parte di un commerciale". Il Garante aveva contestato alla società la violazione (omessa o inidonea informativa all'interessato). La società non aveva dato corso al pagamento in misura ridotta e si era anzi opposta sostenendo non solo che l'informativa proposta conteneva tutte le informazioni specificate nel Codice, ma anche che gli indirizzi e-mail e i numeri di cellulare non potessero essere definiti dati personali, sia perché non in grado di identificare una persona, sia perché non compresi tra le tipologie annoverate nella definizione di dato personale del Codice. Tali motivazioni sono state ritenute inadeguate a giustificare il comportamento dell'azienda. Art. 7 Diritto di accesso ai dati personali ed altri diritti • L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. • 2. L'interessato ha diritto di ottenere l'indicazione: • a) dell'origine dei dati personali; • b) delle finalità e modalità del trattamento; • c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; • d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; • e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. •3. L'interessato ha diritto di ottenere: •a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; •b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; •c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. •4. L'interessato ha diritto di opporsi, in tutto o in parte: •a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; •b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale OGGETTO: ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (artt. 7 e 8 del Codice) DISCIPLINA PREVISTA PER GLI ENTI PUBBLICI NON ECONOMICI • Per gli enti pubblici la normativa sulla privacy va armonizzata con quella precedente riguardante la trasparenza amministrativa • Gli enti pubblici, in particolare le scuole, non hanno bisogno di ottenere il consenso per il trattamento dei dati inerenti alle loro finalità istituzionali (diversamente dai privati che devono sempre ottenere il consenso) • Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite • Inoltre gli enti pubblici devono dotarsi di regolamenti per il trattamento dei dati sensibili. Dopo vari rinvii, il MPI ha adottato il regolamento con decreto 305 del 7/12/2006, G.U. 11 del 15/01/2007. Il termine ultimo per adeguarsi al regolamento era il 28/02/2007. DISCIPLINA SPECIFICA PER L’ISTRUZIONE • Art. 95. Dati sensibili e giudiziari • 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario, con particolare riferimento a quelle svolte anche in forma integrata. • Art. 96. Trattamento di dati relativi a studenti • 1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità. • 2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e certificati. Autorizzazione n. 1/2008 al trattamento dei dati sensibili nei rapporti di lavoro - 19 giugno 2008 (G.U. n. 169 del 21 luglio 2008 - supp. ord. n. 175) • 3) Finalità del trattamento Il trattamento dei dati sensibili deve essere indispensabile: • a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica; IL REGOLAMENTO SUI DATI SENSIBILI E GIUDIZIARI Il testo del Regolamento, molto snello ed essenziale, è suddiviso in 3 articoli nei quali si richiama il D.L.vo 196/03 e si sottolinea l’obbligo di trattare dati sensibili e giudiziari solo previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie quando la raccolta non avvenga presso l’interessato. (art. 2) • Sono parte integrante del Regolamento 7 schede che individuano tutti i dati sensibili e giudiziari trattati dalle scuole, suddividendoli in ambiti: Scheda n. 1 – Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro; Scheda n. 2 – Gestione del contenzioso e procedimenti disciplinari; Scheda n. 3 – Organismi collegiali e commissioni istituzionali; Scheda n. 4 – Attività propedeutiche all’avvio dell’anno scolastico; Scheda n. 5 – Attività educativa, didattica e formativa e di valutazione; Scheda n. 6 – Scuole non statali (relativamente agli eventuali dati sensibili e giudiziari che emergono nell’attività di vigilanza e controllo effettuata dall’Amministrazione e dai dirigenti scolastici delle scuole primarie incaricati della vigilanza sulle scuole non statali autorizzate); • Scheda n. 7 – Rapporti Scuola-Famiglie: gestione del contenzioso. ADEMPIMENTI SUCCESSIVI AL REGOLAMENTO • Necessario adeguare documenti e attività della scuola alle norme del regolamento. • La conoscenza del Regolamento dev’essere oggetto dell’attività di formazione del personale incaricato prevista dal D.L.vo 196/03; • Nell’informativa agli interessati si fa riferimento al rispetto da parte della scuola alle prescrizione del Regolamento; • Si dà evidenza dell’aggiornamento del Documento Programmatico per la Sicurezza nella relazione al programma annuale. Tale adempimento va fatto entro il 31 marzo. • Il Dirigente scolastico effettua verifiche periodiche del rispetto delle istruzioni impartite, di cui all'articolo 29 comma 5 del Dlgs 196/2003. • Va fatto un aggiornamento periodico, almeno annuale, dei trattamenti consentiti ai singoli incaricati (Punti 15 e 27 del Disciplinare Tecnico allegato B del Codice) e degli eventuali diversi profili di autorizzazione per l'accesso ai dati trattati in formato elettronico (Punto 14 del Disciplinare Tecnico allegato B del Codice). Modalità trattamento dati sensibili (Art. 22 D. lgvo) Nel fornire l'informativa di cui all'articolo 13 soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici. I dati idonei a rivelare lo stato di salute non possono essere diffusi. Molte falsità sulla privacy a scuola". Il Garante: una leggenda metropolitana "Non è vero che i voti scolastici devono restare segreti, non è vero che gli studenti devono 'nascondere' la propria fede religiosa, non è vero che i risultati degli scrutini devono rimanere clandestini". Secca smentita del Garante alle notizie del tutto infondate riguardanti la privacy nelle scuole. Non esiste alcun provvedimento del Garante che imponga di tenere segreti i voti dei compiti in classe, delle interrogazioni o gli scrutini, né di consegnarli agli alunni in busta chiusa. Dal 1997 il Garante si sforza, anche con comunicati stampa, di ricordare che i risultati degli scrutini – che non sono, peraltro, dati sensibili, soggetti a speciali tutele - devono essere al contrario pubblicati anche dopo l'avvento della normativa sulla privacy, essendo ciò previsto da una specifica disciplina in materia e rispondendo a principi di trasparenza. Il diritto al lavoro e, quindi, il diritto alla difesa dello stesso, sono costituzionalmente garantiti (art. 4 e 24 della Costituzione) e, pertanto, prevalgono sul diritto alla riservatezza. I docenti controinteressati hanno diritto di prendere visione della documentazione presentata da altri colleghi che beneficiano della legge 104/92. La tutela dei dati sensibili come quelli idonei a rivelare lo stato di salute viene sacrificata se la ricorrente agisce per tutelare il proprio diritto al lavoro. Questa è la motivazione che si legge nella decisione del Consiglio di Stato n. 5323 del 27/10/2006 che ha respinto il ricorso presentato in appello dal MIUR. Il Consiglio di Stato, ha confermato quanto già deciso in primo grado dal Tar Lazio che aveva accolto il ricorso di una docente alla quale la scuola aveva negato per motivi di privacy l’accesso alla documentazione di una docente intenzionata a verificare il diritto di una altra collega (inserimento nelle graduatorie di istituto) a beneficiare delle priorità di cui alla legge 104/92. MISURE MINIME DI SICUREZZA • Art. 34. Trattamenti con strumenti elettronici • 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: • a) autenticazione informatica; (password) • b) adozione di procedure di gestione delle credenziali di autenticazione; • c) utilizzazione di un sistema di autorizzazione; • d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; • e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; • f) adozione di procedure per la custodia di copie di sicurezza (back up), il ripristino della disponibilità dei dati e dei sistemi; • g) tenuta di un aggiornato documento programmatico sulla sicurezza • h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. TRATTAMENTI CON STRUMENTI ELETTRONICI MISURA DI SICUREZZA DESCRIZIONE E/O ESEMPIO AGGIORNAMENTO E NOTE NORME (Alleg. B) Sistema di autenticazione Informatica User-ID e Password Periodico (almeno annuale) N.B.: in caso di trattamento di dati sensibili e giudiziari la password deve essere modificata ogni 3 mesi Sistema di autorizzazione Creazione e gestione di diversi profili “utente” con poteri di accesso/modifica ai dati e ai programmi differenziati in base alle effettive mansioni e responsabilità assegnate Periodico (almeno annuale) Per maggiori dettagli si rinvia alle disposizioni da n.12 a n.14 Sistema di protezione contro i software dannosi ai sensi dell’art. 615 quinquies c.p. (virus, worm, trojan horse…) Antivirus e altri strumenti elettronici (software e/o hardware) tesi ad impedire l’infezione e la diffusione di programmi dannosi. Periodico (almeno semestrale) Per maggiori dettagli si rinvia alla disposizione n. 16 Per maggiori dettagli si rinvia alle disposizioni da n.1 a n. 11 e n. 15 Firewall ed altri strumenti elettronici (software e/o hardware) tesi ad impedire l’accesso abusivo ai dati sensibili e giudiziari (in quest’ampia definizione rientrano in astratto anche i sistemi “Intrusion Detection Sstems”) Periodico (almeno semestrale) Sistema di aggiornamento periodico dei programmi volti a prevenire le vulnerabilità I software utilizzati (dal sistema operativo ai vari software applicativi) devono essere costantemente aggiornati per eliminarne le vulnerabilità. Periodico (almeno annuale) N.B.: in caso di trattamento di dati sensibili e giudiziari l’aggiornamento deve essere almeno semestrale Sistema di back up Salvataggio (copia) dei dati su supporti di sicurezza. Sistema di protezione contro accessi abusivi (art. 615 ter c.p.) Disaster Recovery DPS Periodico (almeno settimanale) Adozione di misure idonee per il ripristino della disponibilità dei dati sensibili o giudiziari in seguito a distruzione o danneggiamento. N.B.: l’accesso ai dati deve essere ripristinato entro e non oltre 7 gg. Redazione di un documento organico che, partendo da un’attenta analisi dei rischi del sistema, metta in risalto le contromisure tecniche e procedurali idonee a prevenirli e contenerli. Periodico ( entro il 31 marzo di ogni anno) Per maggiori dettagli si rinvia alle disposizioni da n. 20 Per maggiori dettagli si rinvia alla disposizione n. 17 Per maggiori dettagli si rinvia alla disposizione n. 18 Per maggiori dettagli si rinvia alle disposizioni da n.21 a 23 Per maggiori dettagli si rinvia alle disposizioni da n. 19 a n. 19.8 Lavoro: linee guida del Garante per posta elettronica e internet Registro delle deliberazioni Del. n. 13 del 1° marzo 2007 • I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali. • L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. • Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica. •Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio: •individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa; •utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali. •Per quanto riguarda la posta elettronica, è opportuno che l'azienda: •renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected]; [email protected]), rendendo così chiara la natura non privata della corrispondenza; •valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; •preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; •metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa. "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" - 14 giugno 2007 (G.U. 13 luglio 2007, n. 161) • 3. È necessario che ogni lavoratore sia preposto per iscritto, in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all'accesso e all'utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati può essere effettuata nominativamente o, specie nell'ambito di strutture organizzative complesse, mediante atti di preposizione del lavoratore a unità organizzative per le quali venga altresì previamente individuato, per iscritto, l'ambito del trattamento consentito (art. 30 del Codice). 5.2 Rapporti con le organizzazioni sindacali • Ad esclusione dei casi in cui il contratto collettivo applicabile preveda espressamente che l'informazione sindacale abbia ad oggetto anche dati nominativi del personale per verificare la corretta attuazione di taluni atti organizzativi, l'amministrazione può fornire alle organizzazioni sindacali dati numerici o aggregati e non anche quelli riferibili ad uno o più lavoratori individuabili. É il caso, ad esempio, delle informazioni inerenti ai sistemi di valutazione dell'attività dei dirigenti, alla ripartizione delle ore di straordinario e alle relative prestazioni, nonché all'erogazione dei trattamenti accessori . • Resta disponibile per l'organizzazione sindacale anche la possibilità di presentare istanze di accesso a dati personali attinenti ad uno o più lavoratori su delega o procura (art. 9, comma 2, del Codice), come pure la facoltà di esercitare il diritto d'accesso a documenti amministrativi in materia di gestione del personale … Dati relativi a concorsi e selezioni • Nel quadro delle attività delle pubbliche amministrazioni si procede comunque, di regola, alla pubblicazione di graduatorie e di esiti di concorsi e selezioni pubbliche. • Nell'utilizzare tale strumento (Internet) di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti. Si pensi alle pagine web contenenti dati relativi a esiti, graduatorie e giudizi di valutazione, che in termini generali dovrebbero essere conosciute più appropriatamente solo consultando un determinato sito Internet, oppure attribuendo solo alle persone interessate una chiave personale di accesso (a vari dati relativi alla procedura, oppure solo a quelli che li riguardano), o predisponendo, nei siti istituzionali, aree ad accesso parimenti selezionato nelle quali possono essere riportate ulteriori informazioni accessibili anche ai controinteressati Cartellini identificativi • Nel selezionare i dati personali destinati ad essere diffusi attraverso i cartellini identificativi, le amministrazioni sono tenute a rispettare i princìpi di pertinenza e non eccedenza dei dati in rapporto alle finalità perseguite (art. 11 del Codice), specie in assenza di necessarie disposizioni di legge o regolamento che prescrivano l'adozione per determinati dipendenti di cartellini identificativi e ne individuino eventualmente anche il relativo contenuto. 27 Febbraio 2009 È da oggi entrata in vigore una nuova legge che prevede che il personale delle pubbliche amministrazioni a contatto con il pubblico debba indossare un cartellino identificativo ed esporre sulla scrivania una targa con nome e cognome. Dati idonei a rivelare lo stato di salute • Proibita la diffusione • No a indicazioni su categorie protette nelle graduatorie • Sui certificati non diagnosi, ma solo prognosi MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA - 27 NOVEMBRE 2008 (G.U. n. 300 del 24 dicembre 2008) (così modificato in base al provvedimento del 25 giugno 2009) • a. Valutazione delle caratteristiche soggettive • L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza • b. Designazioni individuali • c. Elenco degli amministratori di sistema nel DPS • d. Servizi in outsourcing • Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. • e. Verifica delle attività (almeno annuale) • f. Registrazione degli accessi • Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime: • a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; • b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; (stipetti per i registri personali) • c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. (accesso regolamentato alle segreterie) • Si sottolinea che persone diverse dagli incaricati non possono accedere ad archivi di dati (quaderni dei verbali e in generale documenti custoditi nelle segreterie) TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI MISURA DI SICUREZZA DESCRIZIO NE E/O ESEMPIO Redazione di istruzioni scritte agli incaricati Redazione di istruzioni scritte finalizzate al controllo e alla custodia dei documenti contenenti dati personali Sistema di accesso selezionato e controllato agli archivi L’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. In mancanza di strumenti elettronici per il controllo degli accessi o di incaricati alla vigilanza le persone che vi accedono devono essere preventivamente autorizzate. AGGIORNA MENTO Periodico (almeno annuale) “…” NORMA (Alleg. B) Per maggiori dettagli si rinvia alle disposizioni da n.27 a n. 28 Per maggiori dettagli si rinvia alla disposizione n.29 Possibili conseguenze di una raccolta illecita di dati Questionari a scuola e garanzie per alunni e genitori Il Garante blocca la pubblicazione di una tesi di laurea perché i dati erano stai raccolti in modo illecito Bloccati dal Garante per trattamento illecito di dati personali alcuni risultati di una ricerca universitaria, svolta in una scuola elementare e riportati in una tesi di laurea in via di pubblicazione. Gli alunni, e di conseguenza i genitori, non erano stati informati né degli scopi dell'iniziativa, né del fatto che la loro partecipazione era facoltativa e non obbligatoria. Le conseguenze, in alcuni casi, possono diventare ben più gravi, essendo previste sanzioni amministrative molto rilevanti (ad es. per omessa informativa all’interessato), sanzioni penali (per es. per l’omissione delle misure minime di sicurezza), oltre alle azioni di risarcimento danni per chi ne abbia titolo. La responsabilità civile è una responsabilità oggettiva (per l’esercizio di attività pericolose), per cui si prescinde dal dolo o dalla colpa. SANZIONI • • • • • • Art. 161. Omessa o inidonea informativa all'interessato (1) 1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro. Art. 169. Misure di sicurezza (1) 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. (1) Così modificati dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre 2008 STUDENTI E PRIVACY Circolare 15/03/07, Direttiva 30/11/07 • Possibili violazioni di norme da parte degli studenti (cellulari e video) Codice privacy (obbligatori l’informazione e il consenso, scritto se si tratta di dati sensibili) • L’inosservanza dell’obbligo di preventiva informativa all’interessato comporta il pagamento di una sanzione amministrativa che va da un importo minimo di 3.000 (ora 6.000 euro) sino ad un massimo di 18.000 (ora 36.000 euro)… • Resta salvo un eventuale risarcimento danni. • Restano esclusi da tale normativa i dati raccolti per fini personali e non per la diffusione (ad es. youtube) STUDENTI E PRIVACY Codice Civile e Legge sui diritti d’autore Articolo 10 C.C. Abuso dell'immagine altrui (risarcimento danni ex art. 2043 “neminem laedere”) Diritto d’autore: necessario consenso per il ritratto di una persona a meno che non si tratti di persone “pubbliche”, eventi pubblici, scopi scientifici, didattici e culturali STUDENTI E PRIVACY Codice penale a. l’indebita raccolta, la rivelazione e la diffusione di immagini attinenti alla vita privata che si svolgono in abitazioni altrui o in altri luoghi di privata dimora (art. 615-bis codice penale); b. il possibile reato di ingiurie, in caso di particolari messaggi inviati per offendere l’onore o il decoro del destinatario (art. 594 codice penale); c. le pubblicazioni oscene (art. 528 codice penale); d. la tutela dei minori riguardo al materiale pornografico (artt. 600-ter codice penale; legge 3agosto 1998, n. 269). SENTENZE • Gravi responsabilità dei genitori ex art. 2048 c.c.: • - Culpa in educando: “l'affidamento del minore alla custodia di terzi solleva il genitore dalla presunzione di colpa "in vigilando", ma non anche da quella di colpa "in educando", rimanendo comunque i genitori tenuti a dimostrare, per liberarsi da responsabilità per il fatto compiuto dal minore in un momento in cui lo stesso si trovava soggetto alla vigilanza di terzi, di avere impartito al minore stesso un'educazione adeguata a prevenirne comportamenti illeciti” Cassazione civile n. 12501/2000 ADEMPIMENTI INDISPENSABILI DELLA SCUOLA • Previsto da statuto degli studenti, da Circolare 15.03.2007 e precisato da giurisprudenza (Cassazione civile , sez. III, 14 ottobre 2003, n. 15321): • La scuola non soltanto può, ma ha addirittura l’obbligo di predisporre tutte le misure disciplinari e organizzative idonee e necessarie al fine di proteggere l’incolumità degli alunni e di consentire che l’insegnante sia posto in condizione di evitare pericoli per gli allievi. E, per non incorrere in responsabilità, ha l’onere di dimostrare di averle adottate tutte in via preventiva, con un regolamento rigido PARERE AVV. MARCO CUNIBERTI • Per cui il regolamento può (anzi, DEVE) prevedere: • - divieto di ingresso di videofonini (al limite sì ai MERI telefonini, ma divieto assoluto di accenderli all’interno dei locali scolastici) e foto/videocamere (d’altronde se il ragazzo deve telefonare con urgenza ai genitori o viceversa, può essere utilizzato il telefono della scuola) • - ritiro da parte degli insegnanti in caso di violazione, e custodia in modo/luogo sicuro e consegna solo ai genitori, oltre a grave sanzione disciplinare. • - Informativa privacy ai genitori completa e loro consenso a tale trattamento da parte della scuola Art. 2050 Responsabilità per l'esercizio di attività pericolose Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. • • • • • Può l’insegnante controllare il videofonino del ragazzo e, ledendo la sua privacy, vedere il contenuto del filmato/foto? Sembrerebbe di sì, applicando i principi suesposti. La foto o il filmato di terzi (compagni-professori-terzi) da parte dell’alunno rappresenta senz’altro un trattamento di dati personali delle persone riprese, per cui un’attività dalla legge ritenuta pericolosa di per sé (per la quale è prevista addirittura la responsabilità ex art. 2050 c.c.) Criterio: l’insegnante deve (per cui può) intervenire tutte le volte in cui, se si verificasse il danno, la scuola sarebbe responsabile, cioè tutte le volte in cui potrebbe essere contestato alla scuola (con una valutazione caso per caso) che avrebbe potuto impedire il fatto. Deve infatti provare di aver adempiuto l’obbligo di vigilanza sugli scolari con una diligenza idonea (nel caso concreto) ad impedire il fatto illecito Avv. Marco Cuniberti - “I telefonini in classe? Invece di proibirli adotterei una cura omeopatica: contrastare la tecnologia con la tecnologia, schermando la scuola con un sistema che impedisca di effettuare telefonate o inviare messaggi durante le ore di lezione. L’ho già fatto in passato e posso garantire che funziona”.