WHATSAPP
TELEGRAM
Certificati medici senza privacy. Il Garante dà l'altolà alla Guardia di finanza.
Il Garante per la protezione dei dati personali, pronunciandosi su un ricorso di ha sancito un importante principio, ossia che anche il Corpo della Guardia di finanza non è legittimato a trattare i dati sensibili dei propri militari circa il loro stato di salute.
In sintesi, secondo quanto disposto dal Garante per la privacy, per giustificare le assenze dal servizio per malattia sarà sufficiente produrre un certificato medico con l'attestazione della sola prognosi e non più, come previsto da una circolare del Comando generale, una doppia certificazione di cui una con la diagnosi da trasmettere al Dirigente il servizio sanitario del Corpo competente per territorio.
Questo il testo dal sito del Garante
Decisioni su ricorsi - 07 ottobre 2010 Bollettino del n. 120/ottobre 2010
[doc. web n. 1765448]
Provvedimento del 7 ottobre 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTE le istanze ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) avanzate con note datate 11 agosto 2009 e 21 ottobre 2009 da XY nei confronti della Guardia di Finanza - Comando Generale, con le quali l’interessato aveva chiesto di accedere a tutti i dati personali che lo riguardano contenuti nei documenti custoditi presso il predetto Comando e presso i Comandi Interregionale dell’Italia meridionale e Regionale Puglia; rilevato che l’interessato si era anche opposto al trattamento dei dati relativi alla diagnosi richiesti dalla Guardia di finanza in caso di assenza dal servizio per malattia, rilevando che l’obbligo previsto dalla circolare n. 30/2006 di inviare due certificazioni mediche (una contenente solo la prognosi e una contenente anche la diagnosi) non sarebbe previsto da alcuna disposizione normativa;
VISTO il ricorso pervenuto in data 21 maggio 2010, con il quale il ricorrente, non avendo ottenuto un riscontro circa i dati personali che lo riguardano detenuti dal Comando Interregionale e avendo il Comando generale rigettato l’opposizione al trattamento dallo stesso manifestata, ha ribadito le relative richieste e ha chiesto di porre a carico del titolare del trattamento le spese del procedimento;
VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 25 maggio 2010, con la quale questa Autorità, ai sensi dell’art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell’interessato, nonché la nota del 20 luglio 2010, con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell’art. 149, comma 7 del Codice;
VISTA la nota datata 15 giugno 2010 con la quale il Comando Interregionale dell’Italia Meridionale ha comunicato di aver fornito riscontro alla istanza del ricorrente volta ad accedere ai dati personali conservati presso i propri uffici già in data 11 maggio 2010, inoltrando copia della relativa documentazione al Comando provinciale competente;
VISTA la nota del 16 giugno 2010 con la quale il Comando Generale della Guardia di Finanza ha inviato copia della nota inoltrata il 4 marzo 2010 al ricorrente che illustra le ragioni per le quali si ritiene lecito il trattamento dei dati personali relativi alle diagnosi inoltrati ai Dirigenti del servizio sanitario al fine di consentire la verifica dell’idoneità psico-fisica al servizio militare incondizionato; rilevato, in particolare, che, ad avviso dell’ente resistente, il d.m. 29 novembre 2007, n. 255, recante il regolamento di attuazione degli artt. 20, 21 e 181 del Codice, consentirebbe al Corpo di trattare, nell’ambito della gestione del rapporto di lavoro, "legittimamente i dati sensibili idonei a rivelare lo stato di salute (patologie in atto e pregresse) a seguito di assenze non comportanti variazione della posizione di stato (fra cui il riposo medico) e di aspettative" (cfr., allegato 4, scheda n. 3); ciò tenuto anche conto della "specificità del comparto "sicurezza e difesa"", in cui rientra il Corpo della Guardia di Finanza e degli obblighi degli ufficiali medici che sarebbero tenuti ad "agire di iniziativa ogniqualvolta" constatino "che siano in atto patologie che mettano in dubbio l’idoneità incondizionata al servizio, inviando, se necessario, il personale presso le strutture ospedaliere militari";
VISTA la nota pervenuta il 27 luglio 2010 con la quale il ricorrente ha rappresentato di aver ricevuto dal Comando Interregionale i dati richiesti solo il 22 maggio, dopo la presentazione del ricorso e ha insistito nell’opposizione manifestata, rilevando che i dati personali sensibili possono essere trattati, "per quanto attiene lo stato giuridico, (…) solo se indispensabili";
RITENUTO, alla luce delle risultanze istruttorie, che, in ordine alla richiesta del ricorrente di ottenere la comunicazione in forma intelligibile dei dati che lo riguardano, debba essere dichiarato non luogo a provvedere sul ricorso ai sensi dell’art. 149, comma 2 del Codice, avendo il titolare del trattamento fornito un sufficiente riscontro in merito;
RILEVATO, riguardo all’opposizione al trattamento manifestata dal ricorrente, che il Garante ha già avuto modo di precisare, nel provvedimento recante le "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" del 14 giugno 2007 (pubblicato sul sito dell’Autorità, doc. web n. 1417809) che "in assenza di speciali disposizioni di natura normativa, che dispongano diversamente per specifiche figure professionali, il datore di lavoro pubblico non è legittimato a raccogliere certificazioni mediche contenenti anche l'indicazione della diagnosi" (cfr. punto 8.2 del provvedimento) e che, ove non si verta in uno di tali casi speciali, "l'amministrazione (…) deve astenersi dall'utilizzare ulteriormente tali informazioni (art. 11, comma 2, del Codice)";
RILEVATO che, per quanto consta, non risultano, per il Corpo della Guardia di Finanza, disposizioni di natura normativa che consentano la raccolta di certificazioni mediche con l’indicazione della natura dell’infermità e che, in aggiunta a ciò, alla luce della documentazione allo stato prodotta, non risulta che ai fini del riconoscimento del riposo medico sia indispensabile trattare il dato personale relativo alla diagnosi così come richiesto dal d.m. 29 novembre 2007, n. 255, citato dall’amministrazione resistente, il quale prevede che "i dati sulla salute sono trattati, ove indispensabili, per la gestione dello stato giuridico, per il riconoscimento di permessi o aspettative per motivi di salute (…)":
RITENUTO, alla luce di ciò, di dover dichiarare fondata l’opposizione al trattamento manifestata dal ricorrente e di dover vietare alla Guardia di Finanza, a partire dalla data di ricezione del presente provvedimento, di raccogliere ulteriori dati personali dell’interessato relativi alla diagnosi contenute nei certificati medici necessari per giustificare le sue assenze dal servizio per malattia;
RITENUTO che sussistono giusti motivi per compensare le spese tra le parti alla luce della peculiarità della vicenda;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara non luogo a provvedere sul ricorso in ordine alla richiesta di comunicazione in forma intelligibile dei dati riferiti al ricorrente;
b) dichiara fondata l’opposizione al trattamento manifestata dal ricorrente e vieta, a partire dalla data di ricezione del presente provvedimento, alla Guardia di Finanza di raccogliere ulteriori dati personali dell’interessato relativi alla diagnosi contenute nei certificati medici necessari per giustificare le sue assenze dal servizio per malattia;
c) dichiara compensate le spese tra le parti.
Roma, 7 ottobre 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
De Paoli
Speriamo che cambia pure l'Arma dei CC.
Privacy
Re: Privacy
Questo riguarda il caso di un appartenente alla Guardia di Finanza.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Numero 00638/2012 e data 15/02/2012
REPUBBLICA ITALIANA
Consiglio di Stato
Sezione Seconda
Adunanza di Sezione del 14 dicembre 2011
NUMERO AFFARE 01437/2011
OGGETTO:
Ministero dell'economia e delle finanze comando generale della guardia di finanza.
Ricorso straordinario al Presidente della Repubblica proposto dal OMISSIS G.d.F. OMISSIS avverso la reiezione del ricorso gerarchico da lui presentato contro la sanzione disciplinare della consegna per giorni due inflittagli dal comandante della Compagnia di OMISSIS.
LA SEZIONE
Vista la relazione n. ……../11 del 21 febbraio 2011, trasmessa con nota n. ……./11 del 5 aprile 2011 e pervenuta in Segreteria l’8 successivo, con la quale il Ministero dell’Economia e delle Finanze (Comando generale della Guardia di Finanza) chiede il parere del Consiglio di Stato sull’affare in oggetto;
Esaminati gli atti ed udito il relatore ed estensore, Consigliere Damiano Nocilla;
PREMESSO E CONSIDERATO
Il Comandante provinciale G.d.F. di Bari, con determinazione n. OMISSIS del 16 aprile 2010, ha rigettato il ricorso gerarchico proposto dal OMISSIS avverso la determinazione n. OMISSIS del 12 dicembre 2009, con la quale gli era stata inflitta dal Comandante della Compagnia di OMISSIS la sanzione disciplinare di giorni due di consegna, per aver esibito copia di un provvedimento medico-legale (proposta di licenza straordinaria di convalescenza) adottato nei propri confronti dal Dirigente il Servizio Sanitario del Reparto T.L.A. Puglia, oscurandone la diagnosi.
Con tale condotta l’Ispettore avrebbe impedito, “nell’immediatezza” la puntuale applicazione di una disposizione datata 8 ottobre 2003 dello stesso Comando provinciale di Bari, che prescrive ai Reparti, in occasione della concessione delle licenze straordinarie di convalescenza, di “redigere le comunicazioni relative alle conseguenti variazioni matricolari” e di “inviare la relativa documentazione sanitaria, in originale”.
Con ricorso straordinario al Capo dello Stato del 29 luglio 2010, successivamente integrato da motivi aggiunti, il OMISSIS ha impugnato, sotto diversi profili, il menzionato provvedimento di rigetto del gravame gerarchico notificatogli il 21 aprile 2010, deducendo, tra l’altro, la non conformità della disposizione di servizio asseritamente violata con le direttive impartite nel tempo dal Garante per la protezione dei dati personali.
Successivamente il Comandante provinciale di Bari - rilevato che il Garante per la protezione dei dati personali, in data 21 gennaio 2010, ha dichiarato fondata la richiesta del OMISSIS di ottenere la cancellazione delle “diagnosi di malattia annotate nel foglio matricolare (…) a partire dal 1° gennaio 2009”, e che, in data 7 ottobre 2010, sempre il medesimo Garante, ha accolto un altro ricorso proposto dall’Ispettore, verosimilmente scaturito dalla sanzione disciplinare in trattazione, considerando che “non risultano, per il Corpo della Guardia di Finanza, disposizioni di natura normativa che consentano la raccolta di certificazioni mediche con l’indicazione della natura dell’infermità”, non potendo tale legittimazione ricavarsi dal D.M. 29 novembre 2007, n. 255, il quale prevede che “i dati sulla salute sono trattati, ove indispensabili, per la gestione dello stato giuridico, per il riconoscimento di permessi o aspettative per motivi di salute (,,,)”, e vietando “di raccogliere ulteriori dati personali dell’interessato relativi alla [rectius: alle] diagnosi contenute nei certificati medici necessari per giustificare le sue assenze dal servizio per malattia” – ha annullato in autotutela il provvedimento impugnato con determinazione n. OMISSIS del 12 gennaio 2011.
Tale circostanza ha determinato la sopravvenuta carenza d’interesse del ricorrente alla definizione del ricorso.
Quest’ultimo pertanto deve essere dichiarato improcedibile.
P.Q.M.
Esprime il parere che il ricorso debba essere dichiarato improcedibile per sopravvenuta carenza d’interesse.
L'ESTENSORE IL PRESIDENTE
Damiano Nocilla Alessandro Pajno
IL SEGRETARIO
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Numero 00638/2012 e data 15/02/2012
REPUBBLICA ITALIANA
Consiglio di Stato
Sezione Seconda
Adunanza di Sezione del 14 dicembre 2011
NUMERO AFFARE 01437/2011
OGGETTO:
Ministero dell'economia e delle finanze comando generale della guardia di finanza.
Ricorso straordinario al Presidente della Repubblica proposto dal OMISSIS G.d.F. OMISSIS avverso la reiezione del ricorso gerarchico da lui presentato contro la sanzione disciplinare della consegna per giorni due inflittagli dal comandante della Compagnia di OMISSIS.
LA SEZIONE
Vista la relazione n. ……../11 del 21 febbraio 2011, trasmessa con nota n. ……./11 del 5 aprile 2011 e pervenuta in Segreteria l’8 successivo, con la quale il Ministero dell’Economia e delle Finanze (Comando generale della Guardia di Finanza) chiede il parere del Consiglio di Stato sull’affare in oggetto;
Esaminati gli atti ed udito il relatore ed estensore, Consigliere Damiano Nocilla;
PREMESSO E CONSIDERATO
Il Comandante provinciale G.d.F. di Bari, con determinazione n. OMISSIS del 16 aprile 2010, ha rigettato il ricorso gerarchico proposto dal OMISSIS avverso la determinazione n. OMISSIS del 12 dicembre 2009, con la quale gli era stata inflitta dal Comandante della Compagnia di OMISSIS la sanzione disciplinare di giorni due di consegna, per aver esibito copia di un provvedimento medico-legale (proposta di licenza straordinaria di convalescenza) adottato nei propri confronti dal Dirigente il Servizio Sanitario del Reparto T.L.A. Puglia, oscurandone la diagnosi.
Con tale condotta l’Ispettore avrebbe impedito, “nell’immediatezza” la puntuale applicazione di una disposizione datata 8 ottobre 2003 dello stesso Comando provinciale di Bari, che prescrive ai Reparti, in occasione della concessione delle licenze straordinarie di convalescenza, di “redigere le comunicazioni relative alle conseguenti variazioni matricolari” e di “inviare la relativa documentazione sanitaria, in originale”.
Con ricorso straordinario al Capo dello Stato del 29 luglio 2010, successivamente integrato da motivi aggiunti, il OMISSIS ha impugnato, sotto diversi profili, il menzionato provvedimento di rigetto del gravame gerarchico notificatogli il 21 aprile 2010, deducendo, tra l’altro, la non conformità della disposizione di servizio asseritamente violata con le direttive impartite nel tempo dal Garante per la protezione dei dati personali.
Successivamente il Comandante provinciale di Bari - rilevato che il Garante per la protezione dei dati personali, in data 21 gennaio 2010, ha dichiarato fondata la richiesta del OMISSIS di ottenere la cancellazione delle “diagnosi di malattia annotate nel foglio matricolare (…) a partire dal 1° gennaio 2009”, e che, in data 7 ottobre 2010, sempre il medesimo Garante, ha accolto un altro ricorso proposto dall’Ispettore, verosimilmente scaturito dalla sanzione disciplinare in trattazione, considerando che “non risultano, per il Corpo della Guardia di Finanza, disposizioni di natura normativa che consentano la raccolta di certificazioni mediche con l’indicazione della natura dell’infermità”, non potendo tale legittimazione ricavarsi dal D.M. 29 novembre 2007, n. 255, il quale prevede che “i dati sulla salute sono trattati, ove indispensabili, per la gestione dello stato giuridico, per il riconoscimento di permessi o aspettative per motivi di salute (,,,)”, e vietando “di raccogliere ulteriori dati personali dell’interessato relativi alla [rectius: alle] diagnosi contenute nei certificati medici necessari per giustificare le sue assenze dal servizio per malattia” – ha annullato in autotutela il provvedimento impugnato con determinazione n. OMISSIS del 12 gennaio 2011.
Tale circostanza ha determinato la sopravvenuta carenza d’interesse del ricorrente alla definizione del ricorso.
Quest’ultimo pertanto deve essere dichiarato improcedibile.
P.Q.M.
Esprime il parere che il ricorso debba essere dichiarato improcedibile per sopravvenuta carenza d’interesse.
L'ESTENSORE IL PRESIDENTE
Damiano Nocilla Alessandro Pajno
IL SEGRETARIO
Re: Privacy
Privacy: agenzie per il lavoro, no alle copie dei documenti di identità
Le agenzie per il lavoro, in occasione di colloqui conoscitivi, possono acquisire e conservare copia dei documenti di identità, utilizzati per identificare le persone, solo se previsto da specifiche norme.
Lo ha precisato il Garante, a seguito della segnalazione di un uomo: in occasione di un colloquio conoscitivo, infatti, l’agenzia per il lavoro presso cui si era presentato aveva acquisito copia del suo documento di identità. L’Autorità, dopo aver valutato le attività della società, ha osservato che, mentre è lecito per l’agenzia procedere alla corretta identificazione degli aspiranti lavoratori chiedendo l’esibizione di un documento di identità ed eventualmente annotandone gli estremi, deve invece ritenersi eccedente acquisire copia del documento stesso. Le copie dei documenti di identità contengono dati personali, come le fotografie dell’interessato, le caratteristiche fisiche e lo stato civile, non pertinenti alle finalità per le quali venivano raccolti, ovvero la presentazione del curriculum e il colloquio conoscitivo.
Le agenzie per il lavoro, in occasione di colloqui conoscitivi, possono acquisire e conservare copia dei documenti di identità, utilizzati per identificare le persone, solo se previsto da specifiche norme.
Lo ha precisato il Garante, a seguito della segnalazione di un uomo: in occasione di un colloquio conoscitivo, infatti, l’agenzia per il lavoro presso cui si era presentato aveva acquisito copia del suo documento di identità. L’Autorità, dopo aver valutato le attività della società, ha osservato che, mentre è lecito per l’agenzia procedere alla corretta identificazione degli aspiranti lavoratori chiedendo l’esibizione di un documento di identità ed eventualmente annotandone gli estremi, deve invece ritenersi eccedente acquisire copia del documento stesso. Le copie dei documenti di identità contengono dati personali, come le fotografie dell’interessato, le caratteristiche fisiche e lo stato civile, non pertinenti alle finalità per le quali venivano raccolti, ovvero la presentazione del curriculum e il colloquio conoscitivo.
Re: Privacy
Privacy, sì al ricorso per gli iscritti illegittimi nella Centrale allarme interbancaria
Chi è iscritto nella Centrale d’allarme interbancaria (Cai) della Banca d’Italia può esercitare i diritti in materia di protezione dati personali direttamente anche nei confronti della Banca centrale, oltre che rivolgersi alla banca segnalante e, in caso di risposta insoddisfacente, proporre ricorso al Garante privacy. Spetta quindi alla Banca d’Italia, in quanto titolare del trattamento dei dati, il compito di soddisfare le richieste dell’interessato (ad es., avere accesso alle informazioni censite, chiedere il loro aggiornamento, sollecitare la cancellazione se trattate in violazione di legge).
Lo ha precisato il Garante privacy nel definire il ricorso presentato in via d’urgenza da un cittadino iscritto nella Cai – l’archivio informatizzato degli assegni bancari e postali e delle carte di pagamento irregolari – per chiedere la cancellazione del proprio nominativo, sostenendo che l’iscrizione fosse illecita, perché l’assegno segnalato era stato immediatamente sostituito con un altro di pari importo, tratto su un altro conto corrente e regolarmente incassato. Secondo la Banca d’Italia il ricorso, oltre a non aver ragion d’essere in quanto il nominativo del ricorrente non risultava più iscritto nella Cai, doveva ritenersi inammissibile perché la normativa che regola il funzionamento della Cai assegna alle banche o agli uffici postali, e non alla Banca d’Italia, il compito di aggiornare l’archivio. Di diverso avviso l’Autorità che ha invece ritenuto ammissibile il ricorso nei confronti della Banca d’Italia in base alla legge n. 386 del 1990 in materia di assegni bancari che attribuisce esplicitamente alla stessa la qualità di titolare del trattamento dei dati.
Chi è iscritto nella Centrale d’allarme interbancaria (Cai) della Banca d’Italia può esercitare i diritti in materia di protezione dati personali direttamente anche nei confronti della Banca centrale, oltre che rivolgersi alla banca segnalante e, in caso di risposta insoddisfacente, proporre ricorso al Garante privacy. Spetta quindi alla Banca d’Italia, in quanto titolare del trattamento dei dati, il compito di soddisfare le richieste dell’interessato (ad es., avere accesso alle informazioni censite, chiedere il loro aggiornamento, sollecitare la cancellazione se trattate in violazione di legge).
Lo ha precisato il Garante privacy nel definire il ricorso presentato in via d’urgenza da un cittadino iscritto nella Cai – l’archivio informatizzato degli assegni bancari e postali e delle carte di pagamento irregolari – per chiedere la cancellazione del proprio nominativo, sostenendo che l’iscrizione fosse illecita, perché l’assegno segnalato era stato immediatamente sostituito con un altro di pari importo, tratto su un altro conto corrente e regolarmente incassato. Secondo la Banca d’Italia il ricorso, oltre a non aver ragion d’essere in quanto il nominativo del ricorrente non risultava più iscritto nella Cai, doveva ritenersi inammissibile perché la normativa che regola il funzionamento della Cai assegna alle banche o agli uffici postali, e non alla Banca d’Italia, il compito di aggiornare l’archivio. Di diverso avviso l’Autorità che ha invece ritenuto ammissibile il ricorso nei confronti della Banca d’Italia in base alla legge n. 386 del 1990 in materia di assegni bancari che attribuisce esplicitamente alla stessa la qualità di titolare del trattamento dei dati.
Re: Privacy
Privacy: illecito chiedere dati non pertinenti per iscrizione al nido
E’ illecita la raccolta di un numero rilevante di informazioni, spesso inutili e in alcuni casi di natura sanitaria per l’iscrizione ad un asilo nido. A dirlo è il Garante della protezione dei dati personali cui si è rivolto un genitore alle prese con il modulo di iscrizione. Secondo il genitore non tutte le domande erano pertinenti. E non c’è da dargli torto: i genitori sono separati, divorziati, morti? Sono stranieri? Dove risiedono i nonni? Lavorano? quante ore a settimana e quale è il loro stato di salute. Sono invalidi? Questo il tenore di alcune domande che il Garante ha ritenuto illecite ed ha vietato al comune di raccoglierle di nuovo in futuro, limitandosi alla raccolta delle sole informazioni necessarie alla verifica dei criteri di iscrizione previsti dal Regolamento comunale.
L’Autorità ha ordinato inoltre al comune di cancellare i dati non pertinenti già acquisiti in violazione della disciplina sulla privacy. Nel definire la segnalazione l’Autorità ha rilevato un effettivo disallineamento tra i numerosi dati personali, anche sensibili, richiesti dal Comune nel modulo di domanda di iscrizione all’Asilo e quelli che il Regolamento comunale prende in considerazione per attribuire i punteggi della graduatoria di iscrizione al nido (attività dei genitori compreso l’orario di lavoro, presenza di persone invalide nel nucleo familiare, affidamento ai servizi sociali, numero dei figli, età, eventuali gemelli).
E’ illecita la raccolta di un numero rilevante di informazioni, spesso inutili e in alcuni casi di natura sanitaria per l’iscrizione ad un asilo nido. A dirlo è il Garante della protezione dei dati personali cui si è rivolto un genitore alle prese con il modulo di iscrizione. Secondo il genitore non tutte le domande erano pertinenti. E non c’è da dargli torto: i genitori sono separati, divorziati, morti? Sono stranieri? Dove risiedono i nonni? Lavorano? quante ore a settimana e quale è il loro stato di salute. Sono invalidi? Questo il tenore di alcune domande che il Garante ha ritenuto illecite ed ha vietato al comune di raccoglierle di nuovo in futuro, limitandosi alla raccolta delle sole informazioni necessarie alla verifica dei criteri di iscrizione previsti dal Regolamento comunale.
L’Autorità ha ordinato inoltre al comune di cancellare i dati non pertinenti già acquisiti in violazione della disciplina sulla privacy. Nel definire la segnalazione l’Autorità ha rilevato un effettivo disallineamento tra i numerosi dati personali, anche sensibili, richiesti dal Comune nel modulo di domanda di iscrizione all’Asilo e quelli che il Regolamento comunale prende in considerazione per attribuire i punteggi della graduatoria di iscrizione al nido (attività dei genitori compreso l’orario di lavoro, presenza di persone invalide nel nucleo familiare, affidamento ai servizi sociali, numero dei figli, età, eventuali gemelli).
Re: Privacy
Questa notizia è del 2009.
-----------------------------------------------------------
[doc. web n. 1689440]
Ministero della difesa: prescrizioni per il trattamento di dati idonei a rivelare la salute del personale - 21 ottobre 2009
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, del dott. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTA la segnalazione in atti con cui il sig. XY, cessato dal servizio presso il Ministero della difesa, a seguito dell'accertata permanente inidoneità al servizio militare, contesta la liceità del trattamento dei suoi dati personali contenuti in alcuni documenti sanitari detenuti dalla Direzione generale per il personale militare, ritenendo che tale ufficio, avente competenze non sanitarie in materia di stato giuridico, avanzamento e contenzioso degli ufficiali, abbia indebitamente acquisito le informazioni sul suo stato di salute riportate nei processi verbali di visita medica formati dagli organismi sanitari militari e nelle certificazioni mediche allegate;
VISTA la documentazione prodotta dal segnalante nella quale il Ministero della difesa-Direzione generale per il personale militare, seppure abbia dapprima affermato, in riscontro alle sue richieste di chiarimenti, "come possa ben rientrare nelle (sue) precipue competenze … la detenzione .. di documentazione sanitaria del personale amministrato" predisposta dagli organi medico legali militari ai fini dell'adozione di "provvedimenti in tema di stato giuridico ed avanzamento degli ufficiali", ha comunicato in un secondo momento all'interessato di aver "depurato, in maniera da renderli assolutamente illeggibili", i dati che lo riguardano contenuti nei documenti sanitari detenuti, "facendo salva la sola parte strettamente dispositiva che si sostanzia nel giudizio di inidoneità e nella indicazione della categoria di congedo", in quanto "oggetto di diretta trattazione" da parte dell'ufficio anche "in considerazione dei ricorsi giurisdizionali tuttora pendenti";
VISTA la richiesta di elementi inviata dall'Ufficio al Ministero della difesa-Direzione generale per il personale militare;
VISTA la nota di riscontro con cui il Ministero della difesa-Direzione generale per il personale militare ha trasmesso copia della corrispondenza intrattenuta con l'interessato, dichiarando che:
• la documentazione sanitaria attinente agli accertamenti medico legali eseguiti nei confronti dell'interessato sarebbe stata trasmessa alla Direzione generale in quanto competente per "l'adozione del provvedimento di stato giuridico con cui viene decretato il collocamento in congedo dell'ufficiale non più idoneo al servizio militare";
• tale documentazione risulterebbe "indispensabile, ai fini della predisposizione del decreto di cessazione (dal servizio) …, dal momento che la stessa contiene degli elementi essenziali dai quali non è possibile in alcun modo prescindere", quali il giudizio medico legale di permanente inabilità, la data da cui esso decorre e la posizione del congedo spettante (riserva o congedo assoluto); al contrario "gli aspetti relativi alle patologie sotto il profilo sanitario" non avrebbero "alcuna rilevanza" per l'ufficio;
• di conseguenza, come comunicato all'interessato, gli altri dati sanitari che lo riguardano sarebbero stati "definitivamente cancellati" dalla predetta documentazione che è stata inviata in copia al medesimo interessato dopo esser stata "depurata dei dati sensibili";
VISTE le deduzioni del segnalante con le quali è stato rappresentato che il Ministero della difesa-Direzione generale per il personale militare sarebbe in possesso di ulteriore documentazione medica contenente l'indicazione delle patologie invalidanti e altre informazioni sanitarie riferite all'interessato, quali le relazioni e le certificazioni mediche allegate o richiamate nei processi verbali di visita detenuti illegittimamente dall'ufficio;
VISTE le controdeduzioni con cui il Ministero della difesa-Direzione generale per il personale militare ha comunicato direttamente all'interessato di non detenere relazioni o certificazioni mediche che lo riguardano diverse da quelle adottate dagli organi medico legali militari, precisando che i processi verbali detenuti fanno riferimento a relazioni sanitarie o certificazioni mediche allegate che non sarebbero state inviate alla Direzione generale;
VISTA la nota interlocutoria con cui l'Ufficio ha richiesto al Ministero della difesa-Direzione generale per il personale militare di confermare all'Autorità di aver cancellato i dati personali dell'interessato riguardanti le patologie accertate e altre informazioni sanitarie di dettaglio con riferimento all'insieme della documentazione medica detenuta, nonché di fornire i necessari elementi di valutazione anche in merito alle modalità di trattamento dei dati sanitari del restante personale effettuati per l'adozione dei provvedimenti attinenti allo stato giuridico e all'avanzamento;
VISTE le note di risposta con le quali il colonnello KQ del Ministero della difesa ha dichiarato all'Autorità, con attestazione della cui veridicità l'autore risponde anche in sede penale (art. 168 del Codice "Falsità nelle dichiarazioni e notificazioni al Garante"), che la Direzione generale per il personale militare non è in possesso di accertamenti sanitari svolti nei confronti dell'interessato non pertinenti ai provvedimenti di stato giuridico adottati, nonché -con riferimento al trattamento dei dati sanitari del restante personale- che "tutti i processi verbali sono depurati in maniera definitiva dei loro dati sensibili ad opera del … responsabile del trattamento dei dati personali";
VISTO il regolamento adottato con d.P.R. 29 ottobre 2001, n. 461 che detta disposizioni in tema di procedimenti di accertamento delle condizioni di idoneità al servizio applicabili anche agli appartenenti delle Forze armate e a Corpi ad ordinamento militare (art. 1, 15 e 19 d.P.R. n. 461/2001);
CONSIDERATO che sulla base delle procedure previste dal predetto decreto la commissione medica competente ad accertare lo stato di idoneità al servizio deve redigere un processo verbale per descrivere gli accertamenti eseguiti comprensivo delle generalità dell'interessato, nonché del "giudizio diagnostico, (de)gli accertamenti e (de)gli elementi valutati a fini diagnostici" che deve poi trasmettere all'amministrazione di appartenenza del dipendente, entro quindici giorni dalla visita collegiale (art. 15, comma 2, e 6, commi 6 e 7, d.P.R. n. 461/2001);
CONSIDERATO che il trattamento dei dati sensibili, quali quelli attinenti allo stato di salute di lavoratori alle dipendenze di datori di lavoro pubblici, deve essere effettuato esclusivamente per raggiungere determinate finalità di rilevante interesse pubblico individuate dalla legge o con provvedimento del Garante (art. 20 del Codice);
CONSIDERATO che tra le rilevanti finalità per le quali è consentito ai soggetti pubblici il trattamento di informazioni sanitarie riferite a lavoratori sono comprese quelle relative all'adempimento degli obblighi e dei compiti in materia di rapporto di lavoro e di impiego, quali gli adempimenti connessi all'accertamento del "possesso di particolari requisiti per l'accesso a specifici impieghi", "alla definizione dello stato giuridico ed economico" del personale, nonché in materia previdenziale (artt. 20 e 112, commi 1 e 2, lett. c), d) e f) del Codice);
VISTE le disposizioni del regolamento citato n. 461/2001 che, in conformità alla disciplina sulla protezione dei dati personali, individuano le tipologie di dati sensibili che possono essere trattati e le operazioni che possono essere eseguite dalle amministrazioni e dagli organismi sanitari interessati ai procedimenti di accertamento dell'idoneità in servizio del personale in quanto "strettamente pertinenti e necessarie in relazione alle finalità perseguite" (art. 22, comma 3-bis, l. 31 dicembre 1996, n. 675 allora vigente, ora art. 20, comma 2, del Codice; art. 4 d.P.R. n. 461/2001);
VISTO il decreto del Capo del Dipartimento dell'amministrazione generale, del personale e dei servizi del tesoro del Ministero dell'economia e delle finanze del 12 febbraio 2004, recante in allegato i modelli dei verbali da utilizzarsi da parte degli organi medico legali, il quale prevede che nel verbale di inidoneità o di altre forme di inabilità siano riportate indicazioni relative al giudizio diagnostico, ai dati anamnestici, all'esame obiettivo e agli accertamenti clinici e strumentali effettuati (oltre che al giudizio medico legale e all'eventuale dipendenza o meno da causa di servizio dell'infermità) e che, al termine della visita conclusiva, due esemplari del verbale, in originale ovvero in copia autentica, siano trasmessi all'amministrazione di appartenenza del personale interessato (art. 6, comma 13, d.P.R. n. 461/2001; artt. 3, 5 e 6, comma 5, e modello BL/S- N, allegato A) al cit. decr. del 12 febbraio 2004);
VISTO altresì il regolamento definito con decreto del Ministero della difesa del 13 aprile 2006, n. 203 (in G.U. 1° giugno 2006 n. 126) che legittima il trattamento dei dati sulla salute del personale militare presso gli uffici e gli organi, anche sanitari, dell'amministrazione della difesa per porre in essere gli adempimenti necessari per la gestione di rapporti di lavoro, inclusi quelli in materia di stato giuridico ed economico del personale militare, nonché per svolgere le attività finalizzate agli accertamenti di idoneità al servizio (schede nn. 3 e 5);
RILEVATO che la pubblica amministrazione nell'utilizzare per una finalità lecita i dati sensibili relativi allo stato di salute dei lavoratori, ha l'obbligo di conformare il loro trattamento "secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato medesimo", nonché di porre in essere ciascuna operazione e modalità concreta di trattamento, incluse quelle attinenti alla circolazione di documenti sanitari all'interno della stessa amministrazione, soltanto se realmente indispensabili per raggiungere le richiamate finalità in materia di gestione dei rapporti di lavoro, adottando idonee soluzioni che permettano di svolgere egualmente le funzioni istituzionali in modo efficace e di eliminare al contempo ogni occasione di superflua conoscibilità di dati sulla salute anche da parte dei soggetti incaricati o responsabili del trattamento (artt. 11, 22, commi 1, 5 e 9 e 112 del Codice; v. anche Provv. del Garante del 23 luglio 2004, doc. web n. 1099216 e del 2 ottobre 2009, doc. web. n. 1658119);
CONSIDERATO che nelle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" l'Autorità ha fornito puntuali indicazioni agli organismi di accertamento sanitario in ordine agli accorgimenti da adottare nella comunicazione ai datori di lavoro dell'esito delle visite mediche effettuate nei riguardi dei lavoratori, in ottemperanza ai principi di pertinenza, non eccedenza e indispensabilità dei dati trattati (Provv. 14 giugno 2007, doc. web 1417809);
CONSIDERATO che il Garante ha precisato al riguardo, altresì, che all'esito delle predette visite collegiali, volte a verificare l'idoneità al servizio, i "collegi medici devono … trasmettere all'amministrazione di appartenenza dell'interessato il verbale … con la sola indicazione del giudizio medico-legale", ritenendo preclusa in queste ipotesi ai datori di lavoro ogni conoscibilità di qualsiasi altra informazione attinente allo stato di salute degli interessati, in quanto eccedente, non pertinente e non realmente indispensabile rispetto alle finalità perseguite (artt. 11, comma 1, lett. d) e 22, commi 3 e 5 del Codice; v. par. 8.4 delle Linee guida cit.);
CONSIDERATO che, con riferimento ai compiti e alle attività degli organismi di accertamento sanitario alternativi a quelli del Ministero della difesa, il Ministero dell'economia e delle finanze ha emanato specifiche istruzioni al fine di conformare alle indicazioni fornite dal Garante nelle richiamate Linee guida i trattamenti effettuati da tali organismi nell'ambito degli accertamenti di idoneità o di altre forme di inabilità del personale alle dipendenze delle amministrazioni pubbliche (v. circolare n. 907 del 16 aprile 2009 e art. 9 d.P.R. n. 461/2001);
RILEVATO dalle dichiarazioni in atti che la documentazione relativa agli accertamenti sanitari di idoneità al servizio detenuta dalla Direzione generale per il personale militare del Ministero della difesa per l'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale risulta contenere dati attinenti alla salute ultronei rispetto a quelli strettamente necessari per il raggiungimento delle finalità perseguite dal momento che lo stesso ufficio ha proceduto, in un momento successivo, anche in relazione al caso in esame, alla cancellazione dalla medesima documentazione delle informazioni sanitarie degli interessati eccedenti, non pertinenti e non indispensabili riguardanti, in particolare, l'anamnesi, le patologie accertate, gli esami clinici e gli altri accertamenti effettuati;
RITENUTO che le modalità di circolazione all'interno del Ministero della difesa dei dati personali attinenti alla salute dell'interessato e del restante personale relativi agli accertamenti di idoneità al servizio o di altre forme di inabilità risultano essere in contrasto con la disciplina sulla protezione dei dati personali, peraltro richiamata dallo stesso d.P.R. n. 461/2001, e comunque prevalente rispetto ad altre disposizioni interne applicabili agli organi medico legali interessati (v. decreto del 12 febbraio 2004 citato), con particolare riferimento alla trasmissione alla Direzione generale per il personale militare da parte degli organi medico legali militari della versione integrale dei processi verbali di visita ai fini dell'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale (artt. 11, comma 1, lett. d), 22, commi 1, 5 e 9 e 112 del Codice; l. 10 aprile 1954, n. 113 sullo stato degli ufficiali dell'Esercito, della Marina e dell'Aeronautica);
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA, quindi, la fondatezza della segnalazione e ritenuto, in ragione della delicatezza dei dati dell'interessato e del restante personale riguardanti le visite mediche effettuate per verificare l'idoneità al servizio e altre forme di inabilità, nonché del concreto rischio di un pregiudizio rilevante per gli interessati, di dover inibire, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, al Ministero della difesa di far circolare ulteriormente all'interno dell'amministrazione, con modalità non rispettose della disciplina sulla protezione dei dati personali, informazioni riguardanti la salute dell'interessato e del restante personale raccolte nell'ambito degli accertamenti compiuti dagli organismi sanitari militari (artt. 11, 22 e 112 del Codice; v. par. 8.4 delle Linee guida cit.);
RITENUTO, altresì, -ferme restando le prescrizioni impartite al Ministero della difesa nel citato provvedimento del Garante del 2 ottobre 2009- di dover prescrivere alla medesima amministrazione, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di conformare ai principi sopra richiamati le accertate modalità illecite di circolazione all'interno dell'amministrazione dei dati idonei a rivelare la salute del personale riguardanti gli accertamenti sanitari di idoneità al servizio o di altre forme di inabilità, prescrivendo agli organi medico legali dell'amministrazione di trasmettere agli uffici competenti per l'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale, in luogo del verbale integrale di visita, un diverso attestato riportante il solo giudizio medico legale, nonché l'indicazione relativa alla dipendenza o meno dell'infermità da causa di servizio e alla posizione di collocamento in congedo;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il dott. Giuseppe Fortunato;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ritenuta l'illiceità del trattamento, vieta al Ministero della difesa, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, di far circolare ulteriormente all'interno dell'amministrazione, con modalità non rispettose della disciplina sulla protezione dei dati personali, informazioni sullo stato di salute dell'interessato e del restante personale relative agli accertamenti sanitari effettuati dagli organismi sanitari militari;
b) prescrive al Ministero della difesa, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice con effetto dalla notifica del presente provvedimento:
• di conformare ai principi richiamati nel presente provvedimento le accertate modalità illecite di circolazione all'interno dell'amministrazione dei dati idonei a rivelare la salute del personale riguardanti gli accertamenti sanitari di idoneità al servizio o altre forme di inabilità, prescrivendo agli organi medico legali dell'amministrazione di trasmettere agli uffici competenti per l'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale, in luogo del verbale integrale di visita, un diverso attestato riportante il solo giudizio medico legale, nonché l'indicazione relativa alla dipendenza o meno dell'infermità da causa di servizio e alla posizione di collocamento in congedo;
• fornire al Garante entro e non oltre il 31 dicembre 2009 idonee assicurazioni, in ottemperanza alla presente statuizione adottata anche ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, circa l'adozione delle misure assunte per rendere conforme alle prescrizioni del presente provvedimento i trattamenti di dati sanitari effettuati nell'ambito dei predetti accertamenti sanitari ai fini dell'adozione dei conseguenti provvedimenti in materia di stato giuridico e di avanzamento del personale.
Roma, 21 ottobre 2009
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Patroni Griffi
-----------------------------------------------------------
[doc. web n. 1689440]
Ministero della difesa: prescrizioni per il trattamento di dati idonei a rivelare la salute del personale - 21 ottobre 2009
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, del dott. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTA la segnalazione in atti con cui il sig. XY, cessato dal servizio presso il Ministero della difesa, a seguito dell'accertata permanente inidoneità al servizio militare, contesta la liceità del trattamento dei suoi dati personali contenuti in alcuni documenti sanitari detenuti dalla Direzione generale per il personale militare, ritenendo che tale ufficio, avente competenze non sanitarie in materia di stato giuridico, avanzamento e contenzioso degli ufficiali, abbia indebitamente acquisito le informazioni sul suo stato di salute riportate nei processi verbali di visita medica formati dagli organismi sanitari militari e nelle certificazioni mediche allegate;
VISTA la documentazione prodotta dal segnalante nella quale il Ministero della difesa-Direzione generale per il personale militare, seppure abbia dapprima affermato, in riscontro alle sue richieste di chiarimenti, "come possa ben rientrare nelle (sue) precipue competenze … la detenzione .. di documentazione sanitaria del personale amministrato" predisposta dagli organi medico legali militari ai fini dell'adozione di "provvedimenti in tema di stato giuridico ed avanzamento degli ufficiali", ha comunicato in un secondo momento all'interessato di aver "depurato, in maniera da renderli assolutamente illeggibili", i dati che lo riguardano contenuti nei documenti sanitari detenuti, "facendo salva la sola parte strettamente dispositiva che si sostanzia nel giudizio di inidoneità e nella indicazione della categoria di congedo", in quanto "oggetto di diretta trattazione" da parte dell'ufficio anche "in considerazione dei ricorsi giurisdizionali tuttora pendenti";
VISTA la richiesta di elementi inviata dall'Ufficio al Ministero della difesa-Direzione generale per il personale militare;
VISTA la nota di riscontro con cui il Ministero della difesa-Direzione generale per il personale militare ha trasmesso copia della corrispondenza intrattenuta con l'interessato, dichiarando che:
• la documentazione sanitaria attinente agli accertamenti medico legali eseguiti nei confronti dell'interessato sarebbe stata trasmessa alla Direzione generale in quanto competente per "l'adozione del provvedimento di stato giuridico con cui viene decretato il collocamento in congedo dell'ufficiale non più idoneo al servizio militare";
• tale documentazione risulterebbe "indispensabile, ai fini della predisposizione del decreto di cessazione (dal servizio) …, dal momento che la stessa contiene degli elementi essenziali dai quali non è possibile in alcun modo prescindere", quali il giudizio medico legale di permanente inabilità, la data da cui esso decorre e la posizione del congedo spettante (riserva o congedo assoluto); al contrario "gli aspetti relativi alle patologie sotto il profilo sanitario" non avrebbero "alcuna rilevanza" per l'ufficio;
• di conseguenza, come comunicato all'interessato, gli altri dati sanitari che lo riguardano sarebbero stati "definitivamente cancellati" dalla predetta documentazione che è stata inviata in copia al medesimo interessato dopo esser stata "depurata dei dati sensibili";
VISTE le deduzioni del segnalante con le quali è stato rappresentato che il Ministero della difesa-Direzione generale per il personale militare sarebbe in possesso di ulteriore documentazione medica contenente l'indicazione delle patologie invalidanti e altre informazioni sanitarie riferite all'interessato, quali le relazioni e le certificazioni mediche allegate o richiamate nei processi verbali di visita detenuti illegittimamente dall'ufficio;
VISTE le controdeduzioni con cui il Ministero della difesa-Direzione generale per il personale militare ha comunicato direttamente all'interessato di non detenere relazioni o certificazioni mediche che lo riguardano diverse da quelle adottate dagli organi medico legali militari, precisando che i processi verbali detenuti fanno riferimento a relazioni sanitarie o certificazioni mediche allegate che non sarebbero state inviate alla Direzione generale;
VISTA la nota interlocutoria con cui l'Ufficio ha richiesto al Ministero della difesa-Direzione generale per il personale militare di confermare all'Autorità di aver cancellato i dati personali dell'interessato riguardanti le patologie accertate e altre informazioni sanitarie di dettaglio con riferimento all'insieme della documentazione medica detenuta, nonché di fornire i necessari elementi di valutazione anche in merito alle modalità di trattamento dei dati sanitari del restante personale effettuati per l'adozione dei provvedimenti attinenti allo stato giuridico e all'avanzamento;
VISTE le note di risposta con le quali il colonnello KQ del Ministero della difesa ha dichiarato all'Autorità, con attestazione della cui veridicità l'autore risponde anche in sede penale (art. 168 del Codice "Falsità nelle dichiarazioni e notificazioni al Garante"), che la Direzione generale per il personale militare non è in possesso di accertamenti sanitari svolti nei confronti dell'interessato non pertinenti ai provvedimenti di stato giuridico adottati, nonché -con riferimento al trattamento dei dati sanitari del restante personale- che "tutti i processi verbali sono depurati in maniera definitiva dei loro dati sensibili ad opera del … responsabile del trattamento dei dati personali";
VISTO il regolamento adottato con d.P.R. 29 ottobre 2001, n. 461 che detta disposizioni in tema di procedimenti di accertamento delle condizioni di idoneità al servizio applicabili anche agli appartenenti delle Forze armate e a Corpi ad ordinamento militare (art. 1, 15 e 19 d.P.R. n. 461/2001);
CONSIDERATO che sulla base delle procedure previste dal predetto decreto la commissione medica competente ad accertare lo stato di idoneità al servizio deve redigere un processo verbale per descrivere gli accertamenti eseguiti comprensivo delle generalità dell'interessato, nonché del "giudizio diagnostico, (de)gli accertamenti e (de)gli elementi valutati a fini diagnostici" che deve poi trasmettere all'amministrazione di appartenenza del dipendente, entro quindici giorni dalla visita collegiale (art. 15, comma 2, e 6, commi 6 e 7, d.P.R. n. 461/2001);
CONSIDERATO che il trattamento dei dati sensibili, quali quelli attinenti allo stato di salute di lavoratori alle dipendenze di datori di lavoro pubblici, deve essere effettuato esclusivamente per raggiungere determinate finalità di rilevante interesse pubblico individuate dalla legge o con provvedimento del Garante (art. 20 del Codice);
CONSIDERATO che tra le rilevanti finalità per le quali è consentito ai soggetti pubblici il trattamento di informazioni sanitarie riferite a lavoratori sono comprese quelle relative all'adempimento degli obblighi e dei compiti in materia di rapporto di lavoro e di impiego, quali gli adempimenti connessi all'accertamento del "possesso di particolari requisiti per l'accesso a specifici impieghi", "alla definizione dello stato giuridico ed economico" del personale, nonché in materia previdenziale (artt. 20 e 112, commi 1 e 2, lett. c), d) e f) del Codice);
VISTE le disposizioni del regolamento citato n. 461/2001 che, in conformità alla disciplina sulla protezione dei dati personali, individuano le tipologie di dati sensibili che possono essere trattati e le operazioni che possono essere eseguite dalle amministrazioni e dagli organismi sanitari interessati ai procedimenti di accertamento dell'idoneità in servizio del personale in quanto "strettamente pertinenti e necessarie in relazione alle finalità perseguite" (art. 22, comma 3-bis, l. 31 dicembre 1996, n. 675 allora vigente, ora art. 20, comma 2, del Codice; art. 4 d.P.R. n. 461/2001);
VISTO il decreto del Capo del Dipartimento dell'amministrazione generale, del personale e dei servizi del tesoro del Ministero dell'economia e delle finanze del 12 febbraio 2004, recante in allegato i modelli dei verbali da utilizzarsi da parte degli organi medico legali, il quale prevede che nel verbale di inidoneità o di altre forme di inabilità siano riportate indicazioni relative al giudizio diagnostico, ai dati anamnestici, all'esame obiettivo e agli accertamenti clinici e strumentali effettuati (oltre che al giudizio medico legale e all'eventuale dipendenza o meno da causa di servizio dell'infermità) e che, al termine della visita conclusiva, due esemplari del verbale, in originale ovvero in copia autentica, siano trasmessi all'amministrazione di appartenenza del personale interessato (art. 6, comma 13, d.P.R. n. 461/2001; artt. 3, 5 e 6, comma 5, e modello BL/S- N, allegato A) al cit. decr. del 12 febbraio 2004);
VISTO altresì il regolamento definito con decreto del Ministero della difesa del 13 aprile 2006, n. 203 (in G.U. 1° giugno 2006 n. 126) che legittima il trattamento dei dati sulla salute del personale militare presso gli uffici e gli organi, anche sanitari, dell'amministrazione della difesa per porre in essere gli adempimenti necessari per la gestione di rapporti di lavoro, inclusi quelli in materia di stato giuridico ed economico del personale militare, nonché per svolgere le attività finalizzate agli accertamenti di idoneità al servizio (schede nn. 3 e 5);
RILEVATO che la pubblica amministrazione nell'utilizzare per una finalità lecita i dati sensibili relativi allo stato di salute dei lavoratori, ha l'obbligo di conformare il loro trattamento "secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato medesimo", nonché di porre in essere ciascuna operazione e modalità concreta di trattamento, incluse quelle attinenti alla circolazione di documenti sanitari all'interno della stessa amministrazione, soltanto se realmente indispensabili per raggiungere le richiamate finalità in materia di gestione dei rapporti di lavoro, adottando idonee soluzioni che permettano di svolgere egualmente le funzioni istituzionali in modo efficace e di eliminare al contempo ogni occasione di superflua conoscibilità di dati sulla salute anche da parte dei soggetti incaricati o responsabili del trattamento (artt. 11, 22, commi 1, 5 e 9 e 112 del Codice; v. anche Provv. del Garante del 23 luglio 2004, doc. web n. 1099216 e del 2 ottobre 2009, doc. web. n. 1658119);
CONSIDERATO che nelle "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" l'Autorità ha fornito puntuali indicazioni agli organismi di accertamento sanitario in ordine agli accorgimenti da adottare nella comunicazione ai datori di lavoro dell'esito delle visite mediche effettuate nei riguardi dei lavoratori, in ottemperanza ai principi di pertinenza, non eccedenza e indispensabilità dei dati trattati (Provv. 14 giugno 2007, doc. web 1417809);
CONSIDERATO che il Garante ha precisato al riguardo, altresì, che all'esito delle predette visite collegiali, volte a verificare l'idoneità al servizio, i "collegi medici devono … trasmettere all'amministrazione di appartenenza dell'interessato il verbale … con la sola indicazione del giudizio medico-legale", ritenendo preclusa in queste ipotesi ai datori di lavoro ogni conoscibilità di qualsiasi altra informazione attinente allo stato di salute degli interessati, in quanto eccedente, non pertinente e non realmente indispensabile rispetto alle finalità perseguite (artt. 11, comma 1, lett. d) e 22, commi 3 e 5 del Codice; v. par. 8.4 delle Linee guida cit.);
CONSIDERATO che, con riferimento ai compiti e alle attività degli organismi di accertamento sanitario alternativi a quelli del Ministero della difesa, il Ministero dell'economia e delle finanze ha emanato specifiche istruzioni al fine di conformare alle indicazioni fornite dal Garante nelle richiamate Linee guida i trattamenti effettuati da tali organismi nell'ambito degli accertamenti di idoneità o di altre forme di inabilità del personale alle dipendenze delle amministrazioni pubbliche (v. circolare n. 907 del 16 aprile 2009 e art. 9 d.P.R. n. 461/2001);
RILEVATO dalle dichiarazioni in atti che la documentazione relativa agli accertamenti sanitari di idoneità al servizio detenuta dalla Direzione generale per il personale militare del Ministero della difesa per l'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale risulta contenere dati attinenti alla salute ultronei rispetto a quelli strettamente necessari per il raggiungimento delle finalità perseguite dal momento che lo stesso ufficio ha proceduto, in un momento successivo, anche in relazione al caso in esame, alla cancellazione dalla medesima documentazione delle informazioni sanitarie degli interessati eccedenti, non pertinenti e non indispensabili riguardanti, in particolare, l'anamnesi, le patologie accertate, gli esami clinici e gli altri accertamenti effettuati;
RITENUTO che le modalità di circolazione all'interno del Ministero della difesa dei dati personali attinenti alla salute dell'interessato e del restante personale relativi agli accertamenti di idoneità al servizio o di altre forme di inabilità risultano essere in contrasto con la disciplina sulla protezione dei dati personali, peraltro richiamata dallo stesso d.P.R. n. 461/2001, e comunque prevalente rispetto ad altre disposizioni interne applicabili agli organi medico legali interessati (v. decreto del 12 febbraio 2004 citato), con particolare riferimento alla trasmissione alla Direzione generale per il personale militare da parte degli organi medico legali militari della versione integrale dei processi verbali di visita ai fini dell'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale (artt. 11, comma 1, lett. d), 22, commi 1, 5 e 9 e 112 del Codice; l. 10 aprile 1954, n. 113 sullo stato degli ufficiali dell'Esercito, della Marina e dell'Aeronautica);
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA, quindi, la fondatezza della segnalazione e ritenuto, in ragione della delicatezza dei dati dell'interessato e del restante personale riguardanti le visite mediche effettuate per verificare l'idoneità al servizio e altre forme di inabilità, nonché del concreto rischio di un pregiudizio rilevante per gli interessati, di dover inibire, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, al Ministero della difesa di far circolare ulteriormente all'interno dell'amministrazione, con modalità non rispettose della disciplina sulla protezione dei dati personali, informazioni riguardanti la salute dell'interessato e del restante personale raccolte nell'ambito degli accertamenti compiuti dagli organismi sanitari militari (artt. 11, 22 e 112 del Codice; v. par. 8.4 delle Linee guida cit.);
RITENUTO, altresì, -ferme restando le prescrizioni impartite al Ministero della difesa nel citato provvedimento del Garante del 2 ottobre 2009- di dover prescrivere alla medesima amministrazione, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, di conformare ai principi sopra richiamati le accertate modalità illecite di circolazione all'interno dell'amministrazione dei dati idonei a rivelare la salute del personale riguardanti gli accertamenti sanitari di idoneità al servizio o di altre forme di inabilità, prescrivendo agli organi medico legali dell'amministrazione di trasmettere agli uffici competenti per l'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale, in luogo del verbale integrale di visita, un diverso attestato riportante il solo giudizio medico legale, nonché l'indicazione relativa alla dipendenza o meno dell'infermità da causa di servizio e alla posizione di collocamento in congedo;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;
Relatore il dott. Giuseppe Fortunato;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ritenuta l'illiceità del trattamento, vieta al Ministero della difesa, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, di far circolare ulteriormente all'interno dell'amministrazione, con modalità non rispettose della disciplina sulla protezione dei dati personali, informazioni sullo stato di salute dell'interessato e del restante personale relative agli accertamenti sanitari effettuati dagli organismi sanitari militari;
b) prescrive al Ministero della difesa, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice con effetto dalla notifica del presente provvedimento:
• di conformare ai principi richiamati nel presente provvedimento le accertate modalità illecite di circolazione all'interno dell'amministrazione dei dati idonei a rivelare la salute del personale riguardanti gli accertamenti sanitari di idoneità al servizio o altre forme di inabilità, prescrivendo agli organi medico legali dell'amministrazione di trasmettere agli uffici competenti per l'adozione dei provvedimenti di competenza in materia di stato giuridico e di avanzamento del personale, in luogo del verbale integrale di visita, un diverso attestato riportante il solo giudizio medico legale, nonché l'indicazione relativa alla dipendenza o meno dell'infermità da causa di servizio e alla posizione di collocamento in congedo;
• fornire al Garante entro e non oltre il 31 dicembre 2009 idonee assicurazioni, in ottemperanza alla presente statuizione adottata anche ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, circa l'adozione delle misure assunte per rendere conforme alle prescrizioni del presente provvedimento i trattamenti di dati sanitari effettuati nell'ambito dei predetti accertamenti sanitari ai fini dell'adozione dei conseguenti provvedimenti in materia di stato giuridico e di avanzamento del personale.
Roma, 21 ottobre 2009
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Patroni Griffi
Re: Privacy
doc. web n. 1786822]
Provvedimento del 23 dicembre 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTA l'istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) datata 7 giugno 2010 nei confronti della Guardia di Finanza–Gruppo I di ZZ con la quale XY, in servizio presso il medesimo Corpo, aveva chiesto di accedere a tutti i dati personali che lo riguardano contenuti nei documenti custoditi presso il predetto Gruppo, con particolare riferimento alle "comunicazioni intercorse con il Tribunale militare di ZZ", e di conoscerne l'origine, le finalità, le modalità e la logica del trattamento effettuato;
VISTO il ricorso pervenuto in data 6 agosto 2010, con il quale il ricorrente, nel contestare il diniego oppostogli dal titolare del trattamento, ha ribadito le precedenti richieste, rappresentando che il Gruppo I di ZZ (che "ha l'incarico di eseguire rilievi periodici presso il Tribunale militare di ZZ per accertare eventuali procedimenti penali a carico dei militari del Corpo") deterrebbe dati che lo riguardano relativi, tra l'altro, ad un procedimento penale a proprio carico, per il quale è stata disposta "l'archiviazione in quanto atti non costituenti notizia di reato"); rilevato che il ricorrente ha chiesto di porre a carico del titolare del trattamento le spese del procedimento;
VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 9 agosto 2010, con la quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 12 novembre 2010, con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell'art. 149, comma 7 del Codice;
VISTE le note datate 23 ottobre, 24 novembre e 15 dicembre 2010 con le quali il ricorrente ha rappresentato di non aver ricevuto idoneo riscontro e ha ribadito, in particolare, la propria richiesta di ottenere la comunicazione in forma intelligibile dei dati che lo riguardano mediante la trasposizione degli stessi su supporto cartaceo;
VISTA la nota datata 18 ottobre 2010 con la quale la Guardia di finanza- Comando provinciale di ZZ, nell'illustrare le finalità del trattamento, ha contestato la genericità della richiesta di accesso avanzata dal ricorrente; viste le successive note del 6 e del 9 dicembre 2010 con le quali la Guardia di finanza- Gruppo I di ZZ ha fornito riscontro alle istanze avanzate del ricorrente e ha provveduto a comunicare allo stesso i dati personali oggetto del ricorso;
RITENUTO, alla luce delle risultanze istruttorie, che, in ordine alle richieste del ricorrente debba essere dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2 del Codice, avendo il titolare del trattamento fornito un sufficiente riscontro in merito;
VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l'ammontare delle spese e dei diritti inerenti all'odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Guardia di finanza- Gruppo I di ZZ, nella misura di euro 250, previa compensazione della residua parte per giusti motivi legati al riscontro comunque fornito nel corso del procedimento;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara non luogo a provvedere sul ricorso;
b) determina nella misura forfettaria di euro 500 l'ammontare delle spese e dei diritti del procedimento posti, in misura pari a 250 euro, previa compensazione per giusti motivi della residua parte, a carico di Guardia di finanza-Gruppo I di ZZ che dovrà liquidarli direttamente a favore del ricorrente.
Roma, 23 dicembre 201
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De Paoli
Provvedimento del 23 dicembre 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTA l'istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) datata 7 giugno 2010 nei confronti della Guardia di Finanza–Gruppo I di ZZ con la quale XY, in servizio presso il medesimo Corpo, aveva chiesto di accedere a tutti i dati personali che lo riguardano contenuti nei documenti custoditi presso il predetto Gruppo, con particolare riferimento alle "comunicazioni intercorse con il Tribunale militare di ZZ", e di conoscerne l'origine, le finalità, le modalità e la logica del trattamento effettuato;
VISTO il ricorso pervenuto in data 6 agosto 2010, con il quale il ricorrente, nel contestare il diniego oppostogli dal titolare del trattamento, ha ribadito le precedenti richieste, rappresentando che il Gruppo I di ZZ (che "ha l'incarico di eseguire rilievi periodici presso il Tribunale militare di ZZ per accertare eventuali procedimenti penali a carico dei militari del Corpo") deterrebbe dati che lo riguardano relativi, tra l'altro, ad un procedimento penale a proprio carico, per il quale è stata disposta "l'archiviazione in quanto atti non costituenti notizia di reato"); rilevato che il ricorrente ha chiesto di porre a carico del titolare del trattamento le spese del procedimento;
VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 9 agosto 2010, con la quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 12 novembre 2010, con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell'art. 149, comma 7 del Codice;
VISTE le note datate 23 ottobre, 24 novembre e 15 dicembre 2010 con le quali il ricorrente ha rappresentato di non aver ricevuto idoneo riscontro e ha ribadito, in particolare, la propria richiesta di ottenere la comunicazione in forma intelligibile dei dati che lo riguardano mediante la trasposizione degli stessi su supporto cartaceo;
VISTA la nota datata 18 ottobre 2010 con la quale la Guardia di finanza- Comando provinciale di ZZ, nell'illustrare le finalità del trattamento, ha contestato la genericità della richiesta di accesso avanzata dal ricorrente; viste le successive note del 6 e del 9 dicembre 2010 con le quali la Guardia di finanza- Gruppo I di ZZ ha fornito riscontro alle istanze avanzate del ricorrente e ha provveduto a comunicare allo stesso i dati personali oggetto del ricorso;
RITENUTO, alla luce delle risultanze istruttorie, che, in ordine alle richieste del ricorrente debba essere dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2 del Codice, avendo il titolare del trattamento fornito un sufficiente riscontro in merito;
VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l'ammontare delle spese e dei diritti inerenti all'odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Guardia di finanza- Gruppo I di ZZ, nella misura di euro 250, previa compensazione della residua parte per giusti motivi legati al riscontro comunque fornito nel corso del procedimento;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara non luogo a provvedere sul ricorso;
b) determina nella misura forfettaria di euro 500 l'ammontare delle spese e dei diritti del procedimento posti, in misura pari a 250 euro, previa compensazione per giusti motivi della residua parte, a carico di Guardia di finanza-Gruppo I di ZZ che dovrà liquidarli direttamente a favore del ricorrente.
Roma, 23 dicembre 201
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De Paoli
Re: Privacy
- doc. web n. 1789800 -
Provvedimento del 23 dicembre 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTA l'istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) avanzata il 9 giugno 2010 nei confronti della Guardia di Finanza – Gruppo I di KW con la quale XY, ispettore in servizio del medesimo Corpo, aveva chiesto di accedere a tutti i dati personali che lo riguardano contenuti nei documenti custoditi presso il predetto Gruppo e di conoscerne l'origine, le finalità, le modalità e la logica del trattamento effettuato, nonché di conoscere i soggetti o le categorie di soggetti che possono venirne a conoscenza;
VISTO il ricorso pervenuto in data 30 luglio 2010, con il quale il ricorrente, nel contestare il diniego oppostogli dal titolare del trattamento, ha ribadito le precedenti richieste, rappresentando che il Gruppo I di KW (che "ha l'incarico di eseguire rilievi periodici presso il Tribunale militare di KW per accertare eventuali procedimenti penali a carico dei militari del Corpo") deterrebbe dati che lo riguardano relativi, tra l'altro, ad un procedimento penale a proprio carico, "per il quale il Giudice per le indagini preliminari ha emesso una sentenza di non luogo a procedere perché il fatto non sussiste"; rilevato che il ricorrente ha chiesto di porre a carico del titolare del trattamento le spese del procedimento;
VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 9 agosto 2010, con la quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 12 novembre 2010, con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell'art. 149, comma 7 del Codice;
VISTE le note del 5 ottobre e 13 dicembre 2010 con le quali il ricorrente ha rappresentato di non aver ricevuto riscontro e ha ribadito la propria richiesta di ottenere la comunicazione in forma intelligibile dei dati che lo riguardano mediante la trasposizione degli stessi su supporto cartaceo;
VISTA la nota datata 15 ottobre 2010 con la quale la Guardia di finanza- Comando provinciale di KW, nell'illustrare le finalità del trattamento, ha contestato la genericità della richiesta di accesso avanzata dal ricorrente; viste le successive note del 6 e del 9 dicembre 2010 con le quali la Guardia di finanza – Gruppo I di KW ha fornito riscontro alle istanze avanzate del ricorrente e ha provveduto a comunicare allo stesso i dati personali oggetto del ricorso;
RITENUTO, alla luce delle risultanze istruttorie, che, in ordine alle richiesta del ricorrente debba essere dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2 del Codice, avendo il titolare del trattamento fornito un sufficiente riscontro in merito;
VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l'ammontare delle spese e dei diritti inerenti all'odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Guardia di finanza- Gruppo I di KW, nella misura di euro 250, previa compensazione della residua parte per giusti motivi legati al riscontro comunque fornito nel corso del procedimento;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara non luogo a provvedere sul ricorso;
b) determina nella misura forfettaria di euro 500 l'ammontare delle spese e dei diritti del procedimento posti, in misura pari a 250 euro, previa compensazione per giusti motivi della residua parte, a carico di Guardia di finanza-Gruppo I di KW che dovrà liquidarli direttamente a favore del ricorrente.
Roma, 23 dicembre 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De Paoli
Provvedimento del 23 dicembre 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
VISTA l'istanza ex artt. 7 e 8 del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) avanzata il 9 giugno 2010 nei confronti della Guardia di Finanza – Gruppo I di KW con la quale XY, ispettore in servizio del medesimo Corpo, aveva chiesto di accedere a tutti i dati personali che lo riguardano contenuti nei documenti custoditi presso il predetto Gruppo e di conoscerne l'origine, le finalità, le modalità e la logica del trattamento effettuato, nonché di conoscere i soggetti o le categorie di soggetti che possono venirne a conoscenza;
VISTO il ricorso pervenuto in data 30 luglio 2010, con il quale il ricorrente, nel contestare il diniego oppostogli dal titolare del trattamento, ha ribadito le precedenti richieste, rappresentando che il Gruppo I di KW (che "ha l'incarico di eseguire rilievi periodici presso il Tribunale militare di KW per accertare eventuali procedimenti penali a carico dei militari del Corpo") deterrebbe dati che lo riguardano relativi, tra l'altro, ad un procedimento penale a proprio carico, "per il quale il Giudice per le indagini preliminari ha emesso una sentenza di non luogo a procedere perché il fatto non sussiste"; rilevato che il ricorrente ha chiesto di porre a carico del titolare del trattamento le spese del procedimento;
VISTI gli ulteriori atti d'ufficio e, in particolare, la nota del 9 agosto 2010, con la quale questa Autorità, ai sensi dell'art. 149 del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell'interessato, nonché la nota del 12 novembre 2010, con la quale questa Autorità ha disposto la proroga del termine per la decisione sul ricorso ai sensi dell'art. 149, comma 7 del Codice;
VISTE le note del 5 ottobre e 13 dicembre 2010 con le quali il ricorrente ha rappresentato di non aver ricevuto riscontro e ha ribadito la propria richiesta di ottenere la comunicazione in forma intelligibile dei dati che lo riguardano mediante la trasposizione degli stessi su supporto cartaceo;
VISTA la nota datata 15 ottobre 2010 con la quale la Guardia di finanza- Comando provinciale di KW, nell'illustrare le finalità del trattamento, ha contestato la genericità della richiesta di accesso avanzata dal ricorrente; viste le successive note del 6 e del 9 dicembre 2010 con le quali la Guardia di finanza – Gruppo I di KW ha fornito riscontro alle istanze avanzate del ricorrente e ha provveduto a comunicare allo stesso i dati personali oggetto del ricorso;
RITENUTO, alla luce delle risultanze istruttorie, che, in ordine alle richiesta del ricorrente debba essere dichiarato non luogo a provvedere sul ricorso ai sensi dell'art. 149, comma 2 del Codice, avendo il titolare del trattamento fornito un sufficiente riscontro in merito;
VISTA la determinazione generale del 19 ottobre 2005 sulla misura forfettaria dell'ammontare delle spese e dei diritti da liquidare per i ricorsi; ritenuto congruo, su questa base, determinare l'ammontare delle spese e dei diritti inerenti all'odierno ricorso nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso e ritenuto di porli a carico di Guardia di finanza- Gruppo I di KW, nella misura di euro 250, previa compensazione della residua parte per giusti motivi legati al riscontro comunque fornito nel corso del procedimento;
VISTA la documentazione in atti;
VISTI gli artt. 145 e s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) dichiara non luogo a provvedere sul ricorso;
b) determina nella misura forfettaria di euro 500 l'ammontare delle spese e dei diritti del procedimento posti, in misura pari a 250 euro, previa compensazione per giusti motivi della residua parte, a carico di Guardia di finanza-Gruppo I di KW che dovrà liquidarli direttamente a favore del ricorrente.
Roma, 23 dicembre 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De Paoli
Re: Privacy
Notizia del 31.10.2013
--------------------------------------------------------------------------------------
Garante Privacy contro supermercati con videosorveglianza irregolare
Nel mirino del Garante Privacy finiscono supermercati e società della grande distribuzione che adottano sistemi di videosorveglianza non a norma, perché non rispettano le garanzie previste dallo Statuto dei lavoratori, la normativa sulla privacy o il provvedimento sulla videosorveglianza disposto dall’Autorità.
C’è chi conserva per troppo tempo le immagini registrate, chi non ha ottenuto il preventivo accordo sindacale, addirittura chi dichiara che l’impianto di videosorveglianza non è in funzione salvo essere smentito dai fatti.
“La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti”, ribadisce il Garante Privacy in seguito ai risultati di un’ispezione nel settore della grande distribuzione.
Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l’apposita autorizzazione al competente ufficio del Ministero del lavoro.
A tal proposito, l’Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all’installazione delle telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza.
Una sesta società, a differenza dalle precedenti, aveva sì ottenuto l’autorizzazione dell’ufficio ministeriale ad installare l’impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.
Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni:
- ) - alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza.
Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento.
Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l’impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.
Le sei società hanno trenta giorni per adeguarsi alle misure prescritte dalla normativa sulla privacy e dallo Statuto dei lavoratori.
--------------------------------------------------------------------------------------
Garante Privacy contro supermercati con videosorveglianza irregolare
Nel mirino del Garante Privacy finiscono supermercati e società della grande distribuzione che adottano sistemi di videosorveglianza non a norma, perché non rispettano le garanzie previste dallo Statuto dei lavoratori, la normativa sulla privacy o il provvedimento sulla videosorveglianza disposto dall’Autorità.
C’è chi conserva per troppo tempo le immagini registrate, chi non ha ottenuto il preventivo accordo sindacale, addirittura chi dichiara che l’impianto di videosorveglianza non è in funzione salvo essere smentito dai fatti.
“La legittima esigenza di tutelare il patrimonio, di proteggersi da furti e rapine con impianti di videosorveglianza, non autorizza i supermercati a operare in violazione delle libertà fondamentali e della dignità di dipendenti e clienti”, ribadisce il Garante Privacy in seguito ai risultati di un’ispezione nel settore della grande distribuzione.
Dagli accertamenti disposti dal Garante, è emerso, ad esempio, che tra le società sottoposte ad ispezione, cinque non avevano ottenuto un preventivo accordo sindacale o richiesto l’apposita autorizzazione al competente ufficio del Ministero del lavoro.
A tal proposito, l’Autorità ha sottolineato che non è sufficiente che i lavoratori siano stati informati o che abbiano addirittura acconsentito all’installazione delle telecamere per far venir meno le specifiche tutele previste dalla normativa o lo stesso divieto di controllo a distanza.
Una sesta società, a differenza dalle precedenti, aveva sì ottenuto l’autorizzazione dell’ufficio ministeriale ad installare l’impianto di videosorveglianza, ma non ne aveva poi rispettato tutte le prescrizioni.
Dalle verifiche condotte, sia a campione sia in seguito a segnalazioni, dal Nucleo Speciale Privacy della Guardia di Finanza, sono state riscontrate anche altre violazioni:
- ) - alcuni esercizi commerciali conservavano le immagini per un arco temporale non giustificato da esigenze specifiche (ad esempio, per ripetuti furti o rapine) così come invece stabilito dal provvedimento generale del Garante in materia di videosorveglianza.
Due dei supermercati controllati dal Garante, inoltre, non avevano provveduto a segnalare adeguatamente la presenza delle telecamere con appositi cartelli o avevano omesso di indicare chi fosse il titolare del trattamento.
Il legale rappresentante di un supermercato aveva addirittura dichiarato al nucleo ispettivo che l’impianto di videosorveglianza non era in funzione, salvo poi doversi smentire di fronte alle evidenze raccolte.
Le sei società hanno trenta giorni per adeguarsi alle misure prescritte dalla normativa sulla privacy e dallo Statuto dei lavoratori.
Re: Privacy
Garante pubblica “la privacy sotto l’ombrellone”
La privacy non va in vacanza. O meglio: anche e soprattutto durante le vacanze estive può essere utile tenere a mente una serie di indicazioni per “navigare sicuri” e muoversi agevolmente fra social network, condivisione delle foto delle proprie ferie, applicazioni più o meno utili, servizi wifi gratuiti. Basti pensare alla moda dei selfie: non tutti vogliono essere ritratti in foto. O al rischio dei “social-ladri”. Per tutto questo, il Garante Privacy ha messo online una serie di consigli per garantire “la privacy sotto l’ombrellone”.
A cosa stare attenti? Ecco il decalogo del Garante, fra attenzione alle nuove mode (selfie, fotografie e dintorni), servizi di geolocalizzazione (meglio disattivarli) e connessioni wifi offerte in modo gratuito ma non del tutto sicure.
1. Selfie e dintorni. Pubblicare le foto o i video delle vacanze sui social network è divertente. Ma non tutti vogliono apparire on-line, essere riconosciuti o far sapere dove e con chi si trovavano durante le ferie. Soprattutto se le immagini possono risultare in qualche modo imbarazzanti. Se si postano foto o video con altre persone, è sempre meglio prima accertarsi che queste siano d’accordo, specie se si inseriscono anche dei tag con nomi e cognomi.
2. Geolocalizzati? No, grazie. Per gli amanti della riservatezza che non vogliono mai far sapere dove sono durante le vacanze estive, il suggerimento è disattivare le opzioni di geolocalizzazione di smartphone e tablet, oltre a quelle dei social network eventualmente utilizzati.
3. Social-ladri. Postando sui social network che si è in vacanza si potrebbe far sapere ad eventuali malintenzionati che la propria casa è vuota. Il pericolo aumenta se poi si scrive anche per quanto tempo si resterà in vacanza o in quali giorni. Il suggerimento è innanzitutto quello di evitare di postare sul web informazioni troppo personali, come l’indirizzo di casa o la foto del posto dove si parcheggia di solito l’automobile. E’ bene poi controllare le impostazioni privacy dei social network, limitando la visibilità dei post solo agli amici; fare attenzione a non accettare sconosciuti nella cerchia di amicizie online; eventualmente, bloccare la funzione di geolocalizzazione dei social network per non far sapere quanto si è lontani dalla propria abitazione.
4. Viaggi o “pacchi”? E’ bene fare attenzione alle offerte di sconti straordinari su viaggi e affitti di case per le vacanze – da ottenere compiendo determinate operazioni, come, ad esempio, cliccare su link, fornire dati personali o bancari – che possono arrivare via social network, e-mail, sms, sistemi di messaggistica. Virus informatici, software spia e phishing (cioè, una frode finalizzata all’acquisizione, per scopi illegali, di dati personali dell’utente) possono essere in agguato. Inoltre, per evitare i rischi di furti di identità, meglio essere prudenti con i pagamenti online se l’indirizzo internet del sito appare anomalo (ad esempio, se non corrisponde al nome dell’azienda che dovrebbe gestirlo) o se non vengono rispettate le procedure di sicurezza standard per i pagamenti online (ad esempio, la URL – cioè l’indirizzo – del sito deve iniziare con “https” e avere il simbolo di un lucchetto).
5. Attenzione alle app. In vacanza molti utenti di smartphone e tablet scaricano app per giochi, suggerimenti turistici, ecc… Ma questi prodotti software possono anche nascondere virus o malware (cioè, software pericolosi). Per proteggersi, buone regole sono: scaricare le app dai market ufficiali; leggere con attenzione le descrizioni delle app (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare); consultare eventuali recensioni degli altri utenti; evitare che i minori possano scaricare le app da soli.
6. Wi-fi gratuito, ma con prudenza. Le connessioni offerte da locali, stabilimenti balneari e hotel potrebbero non essere sufficientemente protette e mettere pc, smartphone e tablet a rischio di intrusioni esterne da parte di malintenzionati a caccia di dati personali. Inoltre, connessioni “infettate” potrebbero veicolare virus e malware, esponendo i dispositivi collegati a diversi rischi, dal phishing al furto di identità. In ogni caso, quando non si è certi del livello di sicurezza della connessione internet, meglio evitare di usare servizi che richiedono credenziali di accesso (ad esempio, alla propria webmail, ai social network) o fare acquisti online utilizzando il web banking o la carta di credito.
7. Navigare protetti. Aggiornamenti software costanti e programmi antivirus, magari dotati anche di anti-spyware e anti-spam, possono essere buone precauzioni per evitare furti di dati o violazioni della privacy, non solo quando si usa il pc, ma anche per smartphone e tablet. E’ bene mantenere aggiornati anche i sistemi operativi di tutti i dispositivi utilizzati per garantirsi una maggiore protezione.
8. Smartphone e tablet sicuri. Durante le vacanze, purtroppo, può accadere che smartphone e tablet siano smarriti o vengano rubati. Per proteggere i dati che contengono, conviene impostare un codice di accesso non banale e conservare con cura il codice IMEI, che si trova sulla scatola al momento dell’acquisto e che serve a bloccare il dispositivo a distanza. In generale, è bene non conservare dati troppo personali su smartphone e tablet (ad esempio, password o codici bancari) e prendere altre piccole precauzioni, come quella di evitare che i browser e le app memorizzino le credenziali di accesso a siti e servizi (ad esempio, posta elettronica, social network, e-banking). Prima di partire si potrebbe fare un backup di tutte le informazioni (numeri di telefoni, foto, ecc.) su “chiavette” o hard disk esterni, oppure trasferirli sul cloud. Ovviamente, in quest’ultimo caso, è bene informarsi sulle condizioni contrattuali e sulle garanzie privacy del servizio cloud.
9. Sms e messaggi via smartphone e social network. Nel periodo estivo se ne inviano e se ne ricevono molti. Alcuni potrebbero contenere virus, malware o esporre al rischio di spam. E’ sempre bene fare molta attenzione prima di scaricare programmi, aprire eventuali allegati o cliccare link contenuti nel testo o nelle immagini dei messaggi. Si possono poi adottare semplici precauzioni: ad esempio, non rispondere a messaggi provenienti da sconosciuti. Se si usa un pc, si può passare il mouse su un link senza cliccarlo e verificare – in basso a sinistra nel browser - la URL reale al quale si è indirizzati.
10. La miglior difesa è usare sempre con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali.
La privacy non va in vacanza. O meglio: anche e soprattutto durante le vacanze estive può essere utile tenere a mente una serie di indicazioni per “navigare sicuri” e muoversi agevolmente fra social network, condivisione delle foto delle proprie ferie, applicazioni più o meno utili, servizi wifi gratuiti. Basti pensare alla moda dei selfie: non tutti vogliono essere ritratti in foto. O al rischio dei “social-ladri”. Per tutto questo, il Garante Privacy ha messo online una serie di consigli per garantire “la privacy sotto l’ombrellone”.
A cosa stare attenti? Ecco il decalogo del Garante, fra attenzione alle nuove mode (selfie, fotografie e dintorni), servizi di geolocalizzazione (meglio disattivarli) e connessioni wifi offerte in modo gratuito ma non del tutto sicure.
1. Selfie e dintorni. Pubblicare le foto o i video delle vacanze sui social network è divertente. Ma non tutti vogliono apparire on-line, essere riconosciuti o far sapere dove e con chi si trovavano durante le ferie. Soprattutto se le immagini possono risultare in qualche modo imbarazzanti. Se si postano foto o video con altre persone, è sempre meglio prima accertarsi che queste siano d’accordo, specie se si inseriscono anche dei tag con nomi e cognomi.
2. Geolocalizzati? No, grazie. Per gli amanti della riservatezza che non vogliono mai far sapere dove sono durante le vacanze estive, il suggerimento è disattivare le opzioni di geolocalizzazione di smartphone e tablet, oltre a quelle dei social network eventualmente utilizzati.
3. Social-ladri. Postando sui social network che si è in vacanza si potrebbe far sapere ad eventuali malintenzionati che la propria casa è vuota. Il pericolo aumenta se poi si scrive anche per quanto tempo si resterà in vacanza o in quali giorni. Il suggerimento è innanzitutto quello di evitare di postare sul web informazioni troppo personali, come l’indirizzo di casa o la foto del posto dove si parcheggia di solito l’automobile. E’ bene poi controllare le impostazioni privacy dei social network, limitando la visibilità dei post solo agli amici; fare attenzione a non accettare sconosciuti nella cerchia di amicizie online; eventualmente, bloccare la funzione di geolocalizzazione dei social network per non far sapere quanto si è lontani dalla propria abitazione.
4. Viaggi o “pacchi”? E’ bene fare attenzione alle offerte di sconti straordinari su viaggi e affitti di case per le vacanze – da ottenere compiendo determinate operazioni, come, ad esempio, cliccare su link, fornire dati personali o bancari – che possono arrivare via social network, e-mail, sms, sistemi di messaggistica. Virus informatici, software spia e phishing (cioè, una frode finalizzata all’acquisizione, per scopi illegali, di dati personali dell’utente) possono essere in agguato. Inoltre, per evitare i rischi di furti di identità, meglio essere prudenti con i pagamenti online se l’indirizzo internet del sito appare anomalo (ad esempio, se non corrisponde al nome dell’azienda che dovrebbe gestirlo) o se non vengono rispettate le procedure di sicurezza standard per i pagamenti online (ad esempio, la URL – cioè l’indirizzo – del sito deve iniziare con “https” e avere il simbolo di un lucchetto).
5. Attenzione alle app. In vacanza molti utenti di smartphone e tablet scaricano app per giochi, suggerimenti turistici, ecc… Ma questi prodotti software possono anche nascondere virus o malware (cioè, software pericolosi). Per proteggersi, buone regole sono: scaricare le app dai market ufficiali; leggere con attenzione le descrizioni delle app (se, ad esempio, nei testi sono presenti errori e imprecisioni, c’è da sospettare); consultare eventuali recensioni degli altri utenti; evitare che i minori possano scaricare le app da soli.
6. Wi-fi gratuito, ma con prudenza. Le connessioni offerte da locali, stabilimenti balneari e hotel potrebbero non essere sufficientemente protette e mettere pc, smartphone e tablet a rischio di intrusioni esterne da parte di malintenzionati a caccia di dati personali. Inoltre, connessioni “infettate” potrebbero veicolare virus e malware, esponendo i dispositivi collegati a diversi rischi, dal phishing al furto di identità. In ogni caso, quando non si è certi del livello di sicurezza della connessione internet, meglio evitare di usare servizi che richiedono credenziali di accesso (ad esempio, alla propria webmail, ai social network) o fare acquisti online utilizzando il web banking o la carta di credito.
7. Navigare protetti. Aggiornamenti software costanti e programmi antivirus, magari dotati anche di anti-spyware e anti-spam, possono essere buone precauzioni per evitare furti di dati o violazioni della privacy, non solo quando si usa il pc, ma anche per smartphone e tablet. E’ bene mantenere aggiornati anche i sistemi operativi di tutti i dispositivi utilizzati per garantirsi una maggiore protezione.
8. Smartphone e tablet sicuri. Durante le vacanze, purtroppo, può accadere che smartphone e tablet siano smarriti o vengano rubati. Per proteggere i dati che contengono, conviene impostare un codice di accesso non banale e conservare con cura il codice IMEI, che si trova sulla scatola al momento dell’acquisto e che serve a bloccare il dispositivo a distanza. In generale, è bene non conservare dati troppo personali su smartphone e tablet (ad esempio, password o codici bancari) e prendere altre piccole precauzioni, come quella di evitare che i browser e le app memorizzino le credenziali di accesso a siti e servizi (ad esempio, posta elettronica, social network, e-banking). Prima di partire si potrebbe fare un backup di tutte le informazioni (numeri di telefoni, foto, ecc.) su “chiavette” o hard disk esterni, oppure trasferirli sul cloud. Ovviamente, in quest’ultimo caso, è bene informarsi sulle condizioni contrattuali e sulle garanzie privacy del servizio cloud.
9. Sms e messaggi via smartphone e social network. Nel periodo estivo se ne inviano e se ne ricevono molti. Alcuni potrebbero contenere virus, malware o esporre al rischio di spam. E’ sempre bene fare molta attenzione prima di scaricare programmi, aprire eventuali allegati o cliccare link contenuti nel testo o nelle immagini dei messaggi. Si possono poi adottare semplici precauzioni: ad esempio, non rispondere a messaggi provenienti da sconosciuti. Se si usa un pc, si può passare il mouse su un link senza cliccarlo e verificare – in basso a sinistra nel browser - la URL reale al quale si è indirizzati.
10. La miglior difesa è usare sempre con consapevolezza e attenzione le nuove tecnologie e gestire con accortezza i nostri dati personali.
Re: Privacy
Garante Privacy: sì a geolocalizzazione dei lavoratori su smartphone
Via libera alla geolocalizzazione dei lavoratori dipendenti attraverso un’app sui propri smartphone.
Con un’accortezza: dovranno essere rispettate alcune misure di sicurezza.
Ad esempio, l’app non dovrà permettere l’accesso a dati quali gli sms o il traffico telefonico, e dovrà essere ben visibile sullo schermo del cellulare l’icona che indica l’attivazione della funzione di localizzazione.
Questo quanto previsto da un parere del Garante Privacy.
L’Autorità ha stabilito che “due società telefoniche potranno utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché adottino adeguate cautele a protezione della loro vita privata”.
Il Garante ha infatti accolto le istanze di verifica preliminare presentate dalle due società che intendono utilizzare questa tipologia di dati per ottimizzare l’impiego delle risorse presenti sul territorio e migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici.
Potranno farlo, con una serie di accortezze e rispettando alcune misure di sicurezza ben precise, ha risposto il Garante.
Il problema è chiaro: lo smartphone “segue” la persona ed è sempre con lei senza distinzione fra tempo libero e tempo di lavoro.
Spiega il Garante Privacy: “Il trattamento dei dati di localizzazione può presentare, quindi, rischi specifici per la libertà (es. di circolazione e di comunicazione), i diritti e la dignità del dipendente.
Per questo motivo, le società, che si sono anche impegnate a raggiungere un accordo con le organizzazioni sindacali, dovranno adottare specifiche misure volte a garantire che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l’accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico.
E dovranno configurare il sistema in modo tale che sullo schermo dello smartphone compaia sempre, ben visibile, un’icona che indichi ai dipendenti che la funzione di localizzazione è attiva”.
I dipendenti dovranno inoltre essere bene informati sulle caratteristiche dell’applicazione, quali tempi e modalità di attivazione, e sul trattamento dei dati.
Per il Garante, comunque, il sistema prospettato dalle due società rispetta i principi del Codice Privacy intanto perché “consente di ottimizzare la gestione degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, soprattutto in caso di emergenze o calamità naturali.
La localizzazione geografica, inoltre, rafforza le condizioni di sicurezza dei dipendenti permettendo l’invio mirato di soccorsi in caso di difficoltà”.
Altro punto a favore delle due società è che la rilevazione dei dati geolocalizzati non sarebbe continua ma avverrebbe a intervalli stabiliti, con l’ultima rilevazione che cancellerebbe quella precedente.
Via libera alla geolocalizzazione dei lavoratori dipendenti attraverso un’app sui propri smartphone.
Con un’accortezza: dovranno essere rispettate alcune misure di sicurezza.
Ad esempio, l’app non dovrà permettere l’accesso a dati quali gli sms o il traffico telefonico, e dovrà essere ben visibile sullo schermo del cellulare l’icona che indica l’attivazione della funzione di localizzazione.
Questo quanto previsto da un parere del Garante Privacy.
L’Autorità ha stabilito che “due società telefoniche potranno utilizzare i dati di localizzazione geografica, rilevati da una app attiva sugli smartphone in dotazione ai lavoratori, purché adottino adeguate cautele a protezione della loro vita privata”.
Il Garante ha infatti accolto le istanze di verifica preliminare presentate dalle due società che intendono utilizzare questa tipologia di dati per ottimizzare l’impiego delle risorse presenti sul territorio e migliorare la gestione, il coordinamento e la tempestività degli interventi tecnici.
Potranno farlo, con una serie di accortezze e rispettando alcune misure di sicurezza ben precise, ha risposto il Garante.
Il problema è chiaro: lo smartphone “segue” la persona ed è sempre con lei senza distinzione fra tempo libero e tempo di lavoro.
Spiega il Garante Privacy: “Il trattamento dei dati di localizzazione può presentare, quindi, rischi specifici per la libertà (es. di circolazione e di comunicazione), i diritti e la dignità del dipendente.
Per questo motivo, le società, che si sono anche impegnate a raggiungere un accordo con le organizzazioni sindacali, dovranno adottare specifiche misure volte a garantire che le informazioni visibili o utilizzabili dalla app siano solo quelle di geolocalizzazione, impedendo l’accesso ad altri dati, quali ad esempio, sms, posta elettronica, traffico telefonico.
E dovranno configurare il sistema in modo tale che sullo schermo dello smartphone compaia sempre, ben visibile, un’icona che indichi ai dipendenti che la funzione di localizzazione è attiva”.
I dipendenti dovranno inoltre essere bene informati sulle caratteristiche dell’applicazione, quali tempi e modalità di attivazione, e sul trattamento dei dati.
Per il Garante, comunque, il sistema prospettato dalle due società rispetta i principi del Codice Privacy intanto perché “consente di ottimizzare la gestione degli interventi tecnici, incrementando la velocità di risposta alle richieste dei clienti, soprattutto in caso di emergenze o calamità naturali.
La localizzazione geografica, inoltre, rafforza le condizioni di sicurezza dei dipendenti permettendo l’invio mirato di soccorsi in caso di difficoltà”.
Altro punto a favore delle due società è che la rilevazione dei dati geolocalizzati non sarebbe continua ma avverrebbe a intervalli stabiliti, con l’ultima rilevazione che cancellerebbe quella precedente.
Re: Privacy
Telecamere private a vista limitata.
Sentenza della Corte di giustizia europea dell’11 dicembre 2014, resa nella causa C-212/13.
-----------------------------------------------------------------------------
Videosorveglianza domestica: per le telecamere puntate sulla pubblica via si applica la direttiva sulla tutela dei dati personali. Ma con eccezioni.
La direttiva sulla tutela dei dati personali si applica alla videoregistrazione realizzata mediante una videocamera di sorveglianza installata da una persona sulla sua abitazione familiare e diretta verso la pubblica via; tuttavia, la stessa direttiva consente valutare l’interesse legittimo di detta persona a proteggere i beni, la salute e la vita propri nonché della sua famiglia.
A stabilirlo è una sentenza emessa dalla Corte di Giustizia dell’Unione Europea.
La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, consente, in linea di principio, di trattare dati di tal genere solo se l’interessato ha dato il proprio consenso. Nondimeno, essa non si applica al trattamento di dati effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
In questo quadro origina la vicenda oggetto della sentenza della Corte; il sig. Ryneš, cittadino della Repubblica Ceca, e la sua famiglia sono stati oggetto diverse volte di attacchi da parte di uno sconosciuto e, inoltre, le finestre della loro abitazione sono state infrante in diverse occasioni.
In risposta a queste aggressioni, il sig. Ryneš ha installato sulla casa della sua famiglia una videocamera di sorveglianza la quale filmava l‘ingresso di quest‘ultima, la pubblica via nonché l‘ingresso della casa situata di fronte.
Nella notte tra il 6 e il 7 ottobre 2007, una finestra della casa è stata infranta dal lancio di un proiettile con una fionda.
Le registrazioni della videocamera di sorveglianza consegnate alla polizia hanno permesso di identificare due sospetti a carico dei quali sono stati promossi procedimenti penali.
Tuttavia, uno dei sospetti ha contestato, presso l’Ufficio ceco per la tutela dei dati personali, la legalità del trattamento dei dati registrati dalla videocamera di sorveglianza del sig. Ryneš.
L‘Ufficio ha constatato che il sig. Ryneš aveva effettivamente violato le norme in materia di tutela dei dati personali e gli ha inflitto un‘ammenda.
A questo proposito, l‘Ufficio ha rilevato, tra l‘altro, che i dati del sospetto erano stati registrati senza il suo consenso mentre egli si trovava sulla pubblica via, ossia nella parte della strada situata dinanzi la casa del sig. Ryneš.
Investito di un ricorso in cassazione nella controversia tra il sig. Ryneš e l’Ufficio, il Nejvyšší správní soud (Corte suprema amministrativa della Repubblica Ceca) ha così chiesto alla Corte di giustizia se la registrazione effettuata dal sig. Ryneš allo scopo di tutelare la propria vita, la propria salute e i propri beni (ossia, la registrazione di dati personali di individui che hanno attaccato la sua abitazione dalla pubblica strada) costituisse un trattamento di dati non disciplinato dalla direttiva, essendo tale registrazione effettuata da una persona fisica per l‘esercizio di attività a carattere esclusivamente personale o domestico.
Nella sua odierna sentenza la Corte ricorda, in primo luogo, che la nozione di “dati personali” ai sensi della direttiva comprende qualsiasi informazione concernente una persona fisica identificata o identificabile.
È considerata identificabile la persona che può essere identificata, direttamente o indirettamente, mediante riferimento ad uno o più elementi specifici, caratteristici della sua identità fisica.
Di conseguenza, l’immagine di una persona registrata da una telecamera costituisce un dato personale, poiché consente di identificare la persona interessata.
Allo stesso modo, la videosorveglianza che comprenda la registrazione e l’immagazzinamento di dati personali rientra nella sfera d’applicazione della direttiva, poiché costituisce un trattamento automatizzato di tali dati.
In secondo luogo, la Corte dichiara che l’esenzione prevista dalla direttiva relativamente al trattamento di dati effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico dev’essere interpretata in modo restrittivo.
Pertanto, una videosorveglianza che si estende allo spazio pubblico e che, di conseguenza, è diretta al di fuori della sfera privata della persona che tratta i dati non può essere considerata “un’attività esclusivamente personale o domestica”.
Applicando la direttiva, il giudice nazionale deve tenere in considerazione, nel contempo, il fatto che le sue disposizioni consentono di valutare l’interesse legittimo del responsabile del trattamento alla protezione dei beni, della salute e della vita propri nonché della sua famiglia.
In particolare, in primo luogo, il trattamento di dati personali può essere effettuato senza il consenso dell’interessato, segnatamente quando è necessario alla realizzazione dell’interesse legittimo del responsabile del trattamento.
In secondo luogo, una persona non dev’essere informata del trattamento dei suoi dati, se l’informazione di quest’ultima si rivela impossibile o implica sforzi sproporzionati.
In terzo luogo, gli Stati membri possono limitare la portata degli obblighi e dei diritti previsti dalla direttiva, quando una siffatta limitazione è necessaria per salvaguardare la prevenzione, la ricerca, l’accertamento e il perseguimento di infrazioni penali o la tutela dei diritti e delle libertà altrui.
----------------------------------------------------------------------------------------
Corte di giustizia dell'Unione europea COMUNICATO ... - curia
Videosorveglianza
Vedi/leggi e scarica
Sentenza della Corte di giustizia europea dell’11 dicembre 2014, resa nella causa C-212/13.
-----------------------------------------------------------------------------
Videosorveglianza domestica: per le telecamere puntate sulla pubblica via si applica la direttiva sulla tutela dei dati personali. Ma con eccezioni.
La direttiva sulla tutela dei dati personali si applica alla videoregistrazione realizzata mediante una videocamera di sorveglianza installata da una persona sulla sua abitazione familiare e diretta verso la pubblica via; tuttavia, la stessa direttiva consente valutare l’interesse legittimo di detta persona a proteggere i beni, la salute e la vita propri nonché della sua famiglia.
A stabilirlo è una sentenza emessa dalla Corte di Giustizia dell’Unione Europea.
La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, consente, in linea di principio, di trattare dati di tal genere solo se l’interessato ha dato il proprio consenso. Nondimeno, essa non si applica al trattamento di dati effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
In questo quadro origina la vicenda oggetto della sentenza della Corte; il sig. Ryneš, cittadino della Repubblica Ceca, e la sua famiglia sono stati oggetto diverse volte di attacchi da parte di uno sconosciuto e, inoltre, le finestre della loro abitazione sono state infrante in diverse occasioni.
In risposta a queste aggressioni, il sig. Ryneš ha installato sulla casa della sua famiglia una videocamera di sorveglianza la quale filmava l‘ingresso di quest‘ultima, la pubblica via nonché l‘ingresso della casa situata di fronte.
Nella notte tra il 6 e il 7 ottobre 2007, una finestra della casa è stata infranta dal lancio di un proiettile con una fionda.
Le registrazioni della videocamera di sorveglianza consegnate alla polizia hanno permesso di identificare due sospetti a carico dei quali sono stati promossi procedimenti penali.
Tuttavia, uno dei sospetti ha contestato, presso l’Ufficio ceco per la tutela dei dati personali, la legalità del trattamento dei dati registrati dalla videocamera di sorveglianza del sig. Ryneš.
L‘Ufficio ha constatato che il sig. Ryneš aveva effettivamente violato le norme in materia di tutela dei dati personali e gli ha inflitto un‘ammenda.
A questo proposito, l‘Ufficio ha rilevato, tra l‘altro, che i dati del sospetto erano stati registrati senza il suo consenso mentre egli si trovava sulla pubblica via, ossia nella parte della strada situata dinanzi la casa del sig. Ryneš.
Investito di un ricorso in cassazione nella controversia tra il sig. Ryneš e l’Ufficio, il Nejvyšší správní soud (Corte suprema amministrativa della Repubblica Ceca) ha così chiesto alla Corte di giustizia se la registrazione effettuata dal sig. Ryneš allo scopo di tutelare la propria vita, la propria salute e i propri beni (ossia, la registrazione di dati personali di individui che hanno attaccato la sua abitazione dalla pubblica strada) costituisse un trattamento di dati non disciplinato dalla direttiva, essendo tale registrazione effettuata da una persona fisica per l‘esercizio di attività a carattere esclusivamente personale o domestico.
Nella sua odierna sentenza la Corte ricorda, in primo luogo, che la nozione di “dati personali” ai sensi della direttiva comprende qualsiasi informazione concernente una persona fisica identificata o identificabile.
È considerata identificabile la persona che può essere identificata, direttamente o indirettamente, mediante riferimento ad uno o più elementi specifici, caratteristici della sua identità fisica.
Di conseguenza, l’immagine di una persona registrata da una telecamera costituisce un dato personale, poiché consente di identificare la persona interessata.
Allo stesso modo, la videosorveglianza che comprenda la registrazione e l’immagazzinamento di dati personali rientra nella sfera d’applicazione della direttiva, poiché costituisce un trattamento automatizzato di tali dati.
In secondo luogo, la Corte dichiara che l’esenzione prevista dalla direttiva relativamente al trattamento di dati effettuato da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico dev’essere interpretata in modo restrittivo.
Pertanto, una videosorveglianza che si estende allo spazio pubblico e che, di conseguenza, è diretta al di fuori della sfera privata della persona che tratta i dati non può essere considerata “un’attività esclusivamente personale o domestica”.
Applicando la direttiva, il giudice nazionale deve tenere in considerazione, nel contempo, il fatto che le sue disposizioni consentono di valutare l’interesse legittimo del responsabile del trattamento alla protezione dei beni, della salute e della vita propri nonché della sua famiglia.
In particolare, in primo luogo, il trattamento di dati personali può essere effettuato senza il consenso dell’interessato, segnatamente quando è necessario alla realizzazione dell’interesse legittimo del responsabile del trattamento.
In secondo luogo, una persona non dev’essere informata del trattamento dei suoi dati, se l’informazione di quest’ultima si rivela impossibile o implica sforzi sproporzionati.
In terzo luogo, gli Stati membri possono limitare la portata degli obblighi e dei diritti previsti dalla direttiva, quando una siffatta limitazione è necessaria per salvaguardare la prevenzione, la ricerca, l’accertamento e il perseguimento di infrazioni penali o la tutela dei diritti e delle libertà altrui.
----------------------------------------------------------------------------------------
Corte di giustizia dell'Unione europea COMUNICATO ... - curia
Videosorveglianza
Vedi/leggi e scarica
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Re: Privacy
Gravidanza, Garante Privacy: più tutele nell’invio dei certificati all’Inps
--------------------------------------------------------------------------------------------------
Servono maggiori garanzie a tutela della privacy delle lavoratrici madri, a cominciare dal’invio del certificato medico all’Inps.
E’ quanto chiede il Garante nel suo parere su uno schema di decreto interministeriale elaborato dal Ministero del lavoro che detta le modalità tecniche per la predisposizione e l’invio all’Inps dei certificati medici di gravidanza, interruzione di gravidanza e parto.
In base al Testo unico sulla maternità e paternità, questi certificati devono essere inviati all’Inps direttamente dal medico del Servizio Sanitario Nazionale, esclusivamente per via telematica, utilizzando lo stesso sistema di trasmissione delle certificazioni di malattia.
Lo schema di decreto del Ministero, che ha già recepito diverse indicazioni fornite dal Garante nel corso di precedenti incontri, presenta ancora dei profili che devono essere ulteriormente perfezionati.
A cominciare dal fatto che bisogna prevedere che l’invio telematico dei certificati, come stabilito dalla normativa, non sia automatico, ma avvenga su richiesta della lavoratrice per consentirle di potersi avvalere dei diritti che l’ordinamento le riconosce (interruzione della gravidanza, non riconoscimento del figlio, parto in anonimato).
Occorre, infatti, scongiurare il rischio che si instauri la prassi dell’invio automatico dei certificati senza verificare che la donna sia una lavoratrice e che voglia avvalersi dei benefici erogati dall’Inps.
Nello schema inoltre, deve essere inserita una specifica disposizione che preveda l’adozione di idonee misure di sicurezza a protezione dei dati.
Particolare attenzione poi, deve essere, riservata ai dati che, in base alla normativa di settore o ai principi del Codice privacy, possono essere inclusi nei certificati.
Nello schema vanno quindi evitate le diciture che possono risultare generiche o ambigue, o che possono arrecare lesioni alla riservatezza delle lavoratrici.
L’Autorità ha chiesto, ad esempio, che sia espunta dal certificato di interruzione di gravidanza l’informazione sulle condizioni del feto al momento della nascita (vivo, morto), poiché ininfluente (e quindi eccedente e non pertinente) ai fini della fruizione dei periodi di assenza dal lavoro per malattia o degli eventuali benefici previdenziali o assistenziali.
Ulteriori modifiche richieste dal Garante riguardano il perfezionamento dello schema per evitare che il datore di lavoro venga a sapere informazioni che non deve conoscere e l’individuazione, anche per categorie, delle strutture sanitarie competenti all’invio dei certificati.
--------------------------------------------------------------------------------------------------
Servono maggiori garanzie a tutela della privacy delle lavoratrici madri, a cominciare dal’invio del certificato medico all’Inps.
E’ quanto chiede il Garante nel suo parere su uno schema di decreto interministeriale elaborato dal Ministero del lavoro che detta le modalità tecniche per la predisposizione e l’invio all’Inps dei certificati medici di gravidanza, interruzione di gravidanza e parto.
In base al Testo unico sulla maternità e paternità, questi certificati devono essere inviati all’Inps direttamente dal medico del Servizio Sanitario Nazionale, esclusivamente per via telematica, utilizzando lo stesso sistema di trasmissione delle certificazioni di malattia.
Lo schema di decreto del Ministero, che ha già recepito diverse indicazioni fornite dal Garante nel corso di precedenti incontri, presenta ancora dei profili che devono essere ulteriormente perfezionati.
A cominciare dal fatto che bisogna prevedere che l’invio telematico dei certificati, come stabilito dalla normativa, non sia automatico, ma avvenga su richiesta della lavoratrice per consentirle di potersi avvalere dei diritti che l’ordinamento le riconosce (interruzione della gravidanza, non riconoscimento del figlio, parto in anonimato).
Occorre, infatti, scongiurare il rischio che si instauri la prassi dell’invio automatico dei certificati senza verificare che la donna sia una lavoratrice e che voglia avvalersi dei benefici erogati dall’Inps.
Nello schema inoltre, deve essere inserita una specifica disposizione che preveda l’adozione di idonee misure di sicurezza a protezione dei dati.
Particolare attenzione poi, deve essere, riservata ai dati che, in base alla normativa di settore o ai principi del Codice privacy, possono essere inclusi nei certificati.
Nello schema vanno quindi evitate le diciture che possono risultare generiche o ambigue, o che possono arrecare lesioni alla riservatezza delle lavoratrici.
L’Autorità ha chiesto, ad esempio, che sia espunta dal certificato di interruzione di gravidanza l’informazione sulle condizioni del feto al momento della nascita (vivo, morto), poiché ininfluente (e quindi eccedente e non pertinente) ai fini della fruizione dei periodi di assenza dal lavoro per malattia o degli eventuali benefici previdenziali o assistenziali.
Ulteriori modifiche richieste dal Garante riguardano il perfezionamento dello schema per evitare che il datore di lavoro venga a sapere informazioni che non deve conoscere e l’individuazione, anche per categorie, delle strutture sanitarie competenti all’invio dei certificati.
Re: Privacy
Privacy, Garante: no a black list dei morosi sul sito del Comune.
----------------------------------------------------------------------------------
Pubblicare la “black list” dei morosi sul sito del Comune è irragionevole, vessatorio e lesivo della dignità della persona.
I Comuni, quindi, non possono pubblicare sul proprio sito i nomi di coloro che non pagano i tributi.
La legge non prevede tale obbligo, che comunque non può essere introdotto con un Regolamento dell’ente locale.
Lo ha chiarito il Garante privacy al termine di un’istruttoria avviata a seguito di un articolo di stampa nel quale si annunciava l’intenzione dell’ente locale di mettere online una black list con i nomi dei morosi.
Secondo il Garante la procedura che il Comune intende avviare viola il principio di legalità sotto diversi profili:
- intanto il Comune non può introdurre tale obbligo con un proprio regolamento né una nuova sanzione accessoria, quale si configurerebbe la pubblicazione online rispetto alle sanzioni amministrative già previste legate al mancato o erroneo pagamento del tributo;
- tali ambiti rientrano infatti nella competenza esclusiva della legislazione statale.
In secondo luogo, la diffusione online dei nomi degli utenti morosi non è giustificata neanche dalla normativa sulla trasparenza, che individua con precisione gli obblighi di pubblicazione sui siti web istituzionali.
E la stessa normativa stabilisce, invece, che le P.a. possano mettere online informazioni e documenti di cui non è obbligatoria la pubblicazione solo dopo aver anonimizzato i dati personali eventualmente presenti.
Oltre a queste criticità “normative” c’è anche una violazione del principio di legalità sotto il profilo temporale, poiché l’entrata in vigore dell’obbligo di pubblicazione online è stata deliberata con effetto retroattivo.
L’iniziativa del Comune, per di più, produce un trattamento di dati non conforme ai principi del Codice privacy (necessità, pertinenza e non eccedenza nel trattamento) perché le finalità indicate dall’ente locale di stimolare il senso civico dei cittadini, sollecitandoli al pagamento del dovuto o dissuadere gli evasori, possono essere soddisfatte con le misure già in vigore (procedimento di riscossione coattiva dei tributi, pagamento degli interessi di mora, applicazione delle sanzioni amministrative previste).
La diffusione on line dei morosi, essendo la forma di pubblicità più ampia, appare quindi un irragionevole strumento vessatorio, suscettibile di causare danni e disagi lesivi della dignità della persona.
----------------------------------------------------------------------------------
Pubblicare la “black list” dei morosi sul sito del Comune è irragionevole, vessatorio e lesivo della dignità della persona.
I Comuni, quindi, non possono pubblicare sul proprio sito i nomi di coloro che non pagano i tributi.
La legge non prevede tale obbligo, che comunque non può essere introdotto con un Regolamento dell’ente locale.
Lo ha chiarito il Garante privacy al termine di un’istruttoria avviata a seguito di un articolo di stampa nel quale si annunciava l’intenzione dell’ente locale di mettere online una black list con i nomi dei morosi.
Secondo il Garante la procedura che il Comune intende avviare viola il principio di legalità sotto diversi profili:
- intanto il Comune non può introdurre tale obbligo con un proprio regolamento né una nuova sanzione accessoria, quale si configurerebbe la pubblicazione online rispetto alle sanzioni amministrative già previste legate al mancato o erroneo pagamento del tributo;
- tali ambiti rientrano infatti nella competenza esclusiva della legislazione statale.
In secondo luogo, la diffusione online dei nomi degli utenti morosi non è giustificata neanche dalla normativa sulla trasparenza, che individua con precisione gli obblighi di pubblicazione sui siti web istituzionali.
E la stessa normativa stabilisce, invece, che le P.a. possano mettere online informazioni e documenti di cui non è obbligatoria la pubblicazione solo dopo aver anonimizzato i dati personali eventualmente presenti.
Oltre a queste criticità “normative” c’è anche una violazione del principio di legalità sotto il profilo temporale, poiché l’entrata in vigore dell’obbligo di pubblicazione online è stata deliberata con effetto retroattivo.
L’iniziativa del Comune, per di più, produce un trattamento di dati non conforme ai principi del Codice privacy (necessità, pertinenza e non eccedenza nel trattamento) perché le finalità indicate dall’ente locale di stimolare il senso civico dei cittadini, sollecitandoli al pagamento del dovuto o dissuadere gli evasori, possono essere soddisfatte con le misure già in vigore (procedimento di riscossione coattiva dei tributi, pagamento degli interessi di mora, applicazione delle sanzioni amministrative previste).
La diffusione on line dei morosi, essendo la forma di pubblicità più ampia, appare quindi un irragionevole strumento vessatorio, suscettibile di causare danni e disagi lesivi della dignità della persona.
Re: Privacy
Corte di Cassazione da ragione all'Autorità Garante dichiarando inammissibile il ricorso del Ministero dell'Interno.
--------------------------------------------------------------------------
Privacy e videosorveglianza: sentenza della Cassazione
La Corte di Cassazione ha dichiarato inammissibile il ricorso del Ministero dell'Interno ed ha accolto il ricorso dell'Autorità Garante.
Con Sentenza n. 17440 del 02/09/2015 la Corte di Cassazione ha stabilito che l'installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, allo scopo di sorvegliare l’accesso degli avventori, costituisce “trattamento di dati personali" agli effetti del d.lgs. 30 giugno 2003, n. 196, e deve perciò formare oggetto di informativa rivolta ai soggetti che facciano ingresso nel locale.
-----------------------------------------------
In allegato copia della sentenza
--------------------------------------------------------------------------
Privacy e videosorveglianza: sentenza della Cassazione
La Corte di Cassazione ha dichiarato inammissibile il ricorso del Ministero dell'Interno ed ha accolto il ricorso dell'Autorità Garante.
Con Sentenza n. 17440 del 02/09/2015 la Corte di Cassazione ha stabilito che l'installazione di un impianto di videosorveglianza all’interno di un esercizio commerciale, allo scopo di sorvegliare l’accesso degli avventori, costituisce “trattamento di dati personali" agli effetti del d.lgs. 30 giugno 2003, n. 196, e deve perciò formare oggetto di informativa rivolta ai soggetti che facciano ingresso nel locale.
-----------------------------------------------
In allegato copia della sentenza
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.