Embed Size (px)
Citation preview
Tutela dei dati personali
D. Lgs. n. 196/2003T.U. Privacy
Avv. Pasquale LoprioreSpecialist in Legal Information Technology
“Dato personale”
Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
“Dati sensibili"
Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
“Dati giudiziari"
I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale
Ambito di applicazione
La normativi sulla privacy si applica a tutti i soggetti che trattano dati personali attraverso:
- strumenti elettronici;
- supporto cartaceo.
Principio di necessità nel trattamento dei dati
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Principio di correttezzaSecondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori (art. 11, comma 1, lett. a), del Codice).
Le tecnologie dell'informazione (in modo più marcato rispetto ad apparecchiature tradizionali) permettono di svolgere trattamenti ulteriori rispetto a quelli connessi ordinariamente all'attività lavorativa. Ciò, all'insaputa o senza la piena consapevolezza dei lavoratori, considerate anche le potenziali applicazioni di regola non adeguatamente conosciute dagli interessati
I trattamenti devono essere effettuati per finalità determinate esplicite e legittime
Principio di pertinenza e non eccedenza
Il datore di lavoro deve trattare i dati "nella misura meno invasiva possibile“
Le attività di monitoraggio devono essere svolte solo da soggetti preposti ed essere "mirate sull'area di rischio, tenendo conto della normativa sulla protezione dei dati e, se pertinente, del principio di segretezza della corrispondenza"
DIRITTI DELL’INTERESSATOart. 7
L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
L’interessato, in particolare, ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati.
L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, di coloro ai quali i dati sono stati comunicati o diffusi.
L’interessato ha diritto di opporsi:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
I diritti dell’interessato non possono essere esercitati:
a) in materia di riciclaggio;b) in materia di sostegno alle vittime di richieste estorsive;c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'art. 82
Cost.;d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad
espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o il Ministero della giustizia;
Modalità di esercizio dei diritti dell'interessato
La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica.
Il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;
b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico
Modalità del trattamento e requisiti dei dati
I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Informativa art. 13
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e del responsabile.
Cessazione del trattamento
In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.
Consenso art. 23Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'art. 13.
Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Casi nei quali può essere effettuato il trattamento senza consenso
a) è necessario per adempiere ad un obbligo previsto dalla legge;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
Altri casie) è necessario per la salvaguardia della vita o dell'incolumità
fisica di un terzo;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive;
g) nei casi individuati dal Garante;
h) è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto
Titolare del trattamento
Quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza.
Responsabile del trattamentoart. 29
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni
Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
MISURE DI SICUREZZAArt. 31
I dati personali oggetto di trattamento sono custoditi e controllati, in relazione:
alle conoscenze acquisite in base al progresso tecnico; alla natura dei dati; alle specifiche caratteristiche del trattamento.
In modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
MISURE MINIME DI SICUREZZAArt. 33
Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate volte ad assicurare un livello minimo di protezione dei dati personali.
Trattamenti senza l’ausilio di strumenti elettronici
Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
Trattamenti con strumenti elettronici
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica:L’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità.
b) adozione di procedure di gestione delle credenziali di autenticazione:I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica.
c) utilizzazione di un sistema di autorizzazione:L’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente
Altre misure minime
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza DPS;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari ”dati sensibili”.
Obbligo di autocertificazione delle misure
minime Legge n° 133/2008 (D.L. n° 122/2008, ovvero la c.d. “manovra
d’estate”)
Per i soggetti che trattano:
soltanto dati personali non sensibili;
come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale.
La tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione.
Resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al D.P.R. 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte.
Contenuto dell’autocertificazione
L’autocertificazione deve contenere due dichiarazioni:
Che l’azienda tratta solo dati sensibili relativi allo stato di salute o malattia dei propri dipendenti/collaboratori a progetto (ovvero dati che attengono alla loro adesione ad organizzazioni sindacali o a carattere sindacale);
di aver adottato tutte le altre misure di sicurezza previste dal Codice Privacy.
Cambia la fattispecie delittuosa
Il Titolare del trattamento non incorre nella violazione dell’art. 169, bensì quella dell’art. 168 del D.lgs. 196/2003.
Tale ipotesi di reato attiene alle “falsità nelle dichiarazioni e notificazione rese al Garante” la cui violazione comporta la reclusione da 6 mesi a 3 anni.
Prevede, pertanto, una pena superiore rispetto al mancato adeguamento del DPS che comportava l’arresto sino a due anni.
"TRATTAMENTI DI DATI PERSONALI
IN AMBITO SANITARIO"
Principali prescrizioni per il settore sanitario
Misure per il rispetto dei diritti del paziente: distanze di cortesia, modalità per appelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionali.
Ricette impersonali, la possibilità di non rendere sempre e in ogni caso immediatamente identificabili in farmacia gli intestatari di ricette attraverso un tagliando predisposto su carta copiativa che, oscurando il nome e l’indirizzo dell’assistito, consente comunque la visione di tali dati da parte del farmacista nei casi in cui sia necessario.
Dati genetici viene previsto il rilascio di un’apposita autorizzazione da parte del Garante, sentito il Ministro della salute.
Cartelle cliniche sono previste particolari misure per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati (comprese le informazioni relative ai nascituri), ma anche specifiche cautele per il rilascio delle cartelle cliniche a persone diverse dall'interessato.
Art. 76 Esercenti professioni sanitarie e organismi sanitari pubblici
Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute:
1. con il consenso dell'interessato (con le modalità semplificate) e anche senza l'autorizzazione del Garante se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;
2. anche senza il consenso dell'interessato e previa autorizzazione del Garante (rilasciata, salvi i casi di particolare urgenza, sentito il Consiglio superiore di sanità.) se la finalità di cui alla lettera a) riguardano un terzo o la collettività.
Art. 85 Attività di rilevante interesse pubblico
1) attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione dei soggetti assistiti dal Servizio sanitario nazionale, ivi compresa l'assistenza degli stranieri in Italia e dei cittadini italiani all'estero, nonché di assistenza sanitaria erogata al personale navigante ed aeroportuale;
2) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria;
3) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;
4) attività certificatorie;
5) l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute della popolazione;
6) le attività amministrative correlate ai trapianti d'organo e di tessuti, nonché alle trasfusioni di sangue umano, anche in applicazione della legge 4 maggio 1990, n. 107;
7) instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale.
MODALITÀ SEMPLIFICATE PER INFORMATIVA E CONSENSO
L’informativa da rilasciare agli interessati che consente di manifestare il necessario consenso al trattamento dei dati con
un’unica dichiarazione resa al medico di famiglia o all’organismo sanitario
(il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, da più strutture ospedaliere e territoriali).
Ambito di applicazione:a) dagli organismi sanitari pubblici;b) dagli altri organismi privati e dagli esercenti le professioni sanitarie;
Utilizzo dei dati:a) per informare l'interessato relativamente ai dati personali raccolti presso il medesimo interessato o presso terzi, ai sensi dell'articolo 13, commi 1 e 4;b) per manifestare il consenso al trattamento dei dati personali;c) per il trattamento dei dati personali.
Art. 78 Informativa del medico di medicina generale o del pediatra
1. Il medico di medicina generale o il pediatra di libera scelta informano l'interessato relativamente al trattamento dei dati personali, in forma chiara e tale da rendere agevolmente comprensibili gli elementi indicati nell'articolo 13, comma 1.
2. L'informativa può essere fornita per il complessivo trattamento dei dati personali necessario per attività di prevenzione, diagnosi, cura e riabilitazione, svolte dal medico o dal pediatra a tutela della salute o dell'incolumità fisica dell'interessato, su richiesta dello stesso o di cui questi è informato in quanto effettuate nel suo interesse.
3. L'informativa può riguardare, altresì, dati personali eventualmente raccolti presso terzi, ed è fornita preferibilmente per iscritto, anche attraverso carte tascabili con eventuali allegati pieghevoli, includendo almeno gli elementi indicati dal Garante ai sensi dell'articolo 13, comma 3, eventualmente integrati anche oralmente in relazione a particolari caratteristiche del trattamento.
Trattamento dei dati da soggetti diversi e casi particolari
L'informativa riguarda anche il trattamento di dati correlato a quello effettuato dal medico di medicina generale o dal pediatra di libera scelta, effettuato da un professionista o da altro soggetto, parimenti individuabile in base alla prestazione richiesta, che:
a) sostituisce temporaneamente il medico o il pediatra;
b) fornisce una prestazione specialistica su richiesta del medico e del pediatra;
c) può trattare lecitamente i dati nell'ambito di un'attività professionale prestata in formaassociata;
d) fornisce farmaci prescritti;
e) comunica dati personali al medico o pediatra in conformità alla disciplina applicabile.
Art. 79 Informativa da parte di organismi sanitari
Gli organismi sanitari pubblici e privati possono avvalersi delle modalità semplificate relative all'informativa e al consenso di cui agli articoli 78 e 81 in riferimento:
ad una pluralità di prestazioni erogate anche da distinti reparti ed unità dello stesso organismo o di più strutture ospedaliere o territoriali specificamente identificati.
l'organismo o le strutture annotano l'avvenuta informativa e il consenso con modalità uniformi e tali da permettere una verifica al riguardo da parte di altri reparti ed unità che, anche in tempi diversi, trattano dati relativi al medesimo interessato.
Le modalità semplificate di cui agli articoli 78 e 81 possono essere utilizzate in modo omogeneo e coordinato in riferimento all'insieme dei trattamenti di dati personali effettuati nel complesso delle strutture facenti capo alle aziende sanitarie. Sulla base di adeguate misure organizza tive in applicazione del comma 3, le modalità semplificate possono essere utilizzate per più trattamenti di dati effettuati nei casi di cui al presente articolo e dai soggetti di cui all'articolo 80.
Art. 80 Informativa da parte di altri soggetti pubblici
Servizi o strutture di soggetti pubblici operanti in ambito sanitario o della prevenzione e sicurezza del lavoro.
Oltre a quanto previsto dall'articolo 79, possono avvalersi della facoltà di fornire un'unica informativa per una pluralità di trattamenti di dati effettuati, a fini amministrativi e in tempi diversi, rispetto a dati raccolti presso l'interessato e presso terzi, i competenti. L'informativa è integrata con appositi e idonei cartelli ed avvisi agevolmente visibili al pubblico, affissi e diffusi anche nell'ambito di pubblicazioni istituzionali e mediante reti di comunicazione elettronica, in particolare per quanto riguarda attività amministrative di rilevante interesse pubblico che non richiedono il consenso degli interessati.
Art. 81 Prestazione del consenso
Il consenso al trattamento dei dati idonei a rivelare lo stato di salute può essere manifestato con un'unica dichiarazione, anche oralmente.
In tal caso il consenso è documentato, anziché con atto scritto dell'interessato, con annotazione dell'esercente la professione sanitaria o dell'organismo sanitario pubblico, riferita al trattamento di dati effettuato da uno o più soggetti e all'informativa all'interessato, nei modi indicati negli articoli 78, 79 e 80.
Quando il medico o il pediatra fornisce l'informativa per conto di più professionisti il consenso è reso conoscibile ai medesimi professionisti con adeguate modalità, anche attraverso menzione, annotazione o apposizione di un bollino o tagliando su una carta elettronica o sulla tessera sanitaria, contenente un richiamo al medesimo articolo 78, comma 4, e alle eventuali diverse specificazioni apposte all'informativa ai sensi del medesimo comma.
Art. 82 Emergenze e tutela della salute e dell'incolumità fisica
L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica per la quale la competente autorità ha adottato un'ordinanza contingibile ed urgente
L'informativa e il consenso al trattamento dei dati personali possono altresì intervenire senza ritardo, successivamente alla prestazione, in caso di:
impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato, quando non è possibile acquisire il consenso da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato;
rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato. L'informativa e il consenso al trattamento dei dati personali possono intervenire senza ritardo, successivamente alla prestazione, anche in caso di prestazione medica che può essere pregiudicata dall'acquisizione preventiva del consenso, in termini di tempestività o efficacia. Dopo il raggiungimento della maggiore età l'informativa è fornita all'interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo è necessario.
Art. 92 Cartelle clinicheNei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri.
Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità:
di far valere o difendere un diritto in sede giudiziaria di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.
Art. 94 Banche di dati, registri e schedari in ambito sanitario
Il trattamento di dati idonei a rivelare lo stato di salute contenuti in banche di dati, schedari, archivi o registri tenuti in ambito sanitario, è effettuato nel rispetto dell'articolo 3 anche presso banche di dati, schedari, archivi o registri già istituiti alla data di entrata in vigore del presente codice e in riferimento ad accessi di terzi previsti dalla disciplina vigente alla medesima data, in particolare presso:
a) il registro nazionale dei casi di mesotelioma asbesto-correlati istituito presso l'Istituto superiore per la prevenzione e la sicurezza del lavoro (Ispesl);
b) la banca di dati in materia di sorveglianza della malattia di Creutzfeldt-Jakob o delle varianti e sindromi ad essa correlate, di cui al decreto del Ministro della salute in data 21/12/2001;
c) il registro nazionale delle malattie rare;
d) i registri dei donatori di midollo osseo;
e) gli schedari dei donatori di sangue di cui all'articolo 15 del decreto del Ministro della sanità in data 26/01/2001.
Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario - 16 luglio 2009
Parte I: Il Fascicolo sanitario elettronico e il dossier sanitario
1. la sanità elettronica: profili generali;
2. ambito di applicazione delle Linee guida.
Parte II: Le garanzie per l'interessato
3. diritto alla costituzione di un Fascicolo sanitario elettronico e di un dossier sanitario;
4. individuazione dei soggetti che possono trattare i dati;
5. accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel dossier sanitario;
6. diritti dell'interessato sui propri dati personali (art. 7 del Codice);
7. limiti alla diffusione e al trasferimento all'estero dei dati.
8. informativa e consenso;
9. comunicazione al Garante;
10. misure di sicurezza.
Contenuto del provvedimento
Il provvedimento del Garante stabilisce:
- il paziente deve poter scegliere, in piena libertà, se far costituire o meno un fascicolo sanitario elettronico, con tutte o solo alcune delle informazioni sanitarie che lo riguardano;
- deve poter manifestare un consenso autonomo e specifico, distinto da quello che si presta a fini di cura della salute;
- al paziente deve essere inoltre garantita la possibilità di "oscurare" la visibilità di alcuni eventi clinici.
Per poter esprimere scelte consapevoli il paziente deve essere adeguatamente informato.Con un linguaggio comprensibile e dettagliato l'informativa deve quindi indicare chi (medici di base, del reparto ove è ricoverato, farmacisti) ha accesso ai suoi dati e che tipo di operazioni può compiere.
Il fascicolo sanitario elettronico potrà essere consultato dal paziente con modalità adeguate (ad es. tramite smart card) e dal personale sanitario strettamente autorizzato, solo per finalità sanitarie. Non potranno accedervi invece periti, compagnie di assicurazione, datori di lavoro.
A cosa serve il Fascicolo Sanitario Elettronico (FSE)
Raccogliere elettronicamente le informazioni cliniche relative alla Persona, informazioni che possono essere state originate in qualunque struttura sanitaria (italiana, per cominciare, ma europea, come già prevedono i progetti UE) in modo da renderle disponibili ad ogni altro operatore sul territorio (nazionale e poi europeo) che debba prestare ulteriori cure a quella Persona.
Il diritto alla costituzione di un Fascicolo sanitario elettronico o di un dossier sanitario
Le finalità perseguite attraverso il Fse o il dossier sono riconducibili alla documentazione di una "memoria storica" degli eventi di rilievo sanitario relativi a un medesimo individuo consultabile dal medico curante.
Il trattamento dei dati personali effettuato mediante il Fse o il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).
Anche con la possibilità che i dati sanitari restino disponibili solo al professionista o organismo sanitario che li ha redatti, senza la loro necessaria inclusione in tali strumenti.
Individuazione dei soggetti che possono trattare i dati
Il trattamento di dati personali effettuato attraverso il Fse/dossier, deve essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche e organismi amministrativi anche operanti in ambito sanitario.
Analogamente, l'accesso è precluso anche al personale medico nell'esercizio di attività medico-legale (es. visite per l'accertamento dell'idoneità lavorativa o alla guida), in quanto, sebbene figure professionali di tipo sanitario, tali professionisti svolgono la loro attività professionale nell'ambito dell'accertamento di idoneità o status, e non anche all'interno di un processo di cura dell'interessato.
Accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel Dossier sanitario
Il titolare deve valutare attentamente quali dati pertinenti, non eccedenti e indispensabili inserire nel Fse/dossier in relazione alle necessità di prevenzione, diagnosi, cura e riabilitazione.
Devono essere, pertanto, preferite soluzioni che consentano un'organizzazione modulare di tali strumenti in modo da limitare l'accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili.
I titolari del trattamento, nel costituire il Fse/dossier e nell'individuare la tipologia di informazioni che possono esservi anche successivamente riportate, devono rispettare le disposizioni normative a tutela dell'anonimato della persona tra cui quelle a tutela delle vittime di atti di violenza sessuale o di pedofilia.
Comunicazione al Garante
Il Fse, costituendo un insieme logico di informazioni e documenti sanitari volto a documentare la storia clinica di un individuo condiviso da più titolari del trattamento, deve essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento.
A garanzia di tale evidenza i trattamenti di dati personali effettuati attraverso il Fse devono essere resi noti al Garante mediante una apposta comunicazione da effettuarsi secondo un modello che sarà adottato dall'Autorità con specifico provvedimento.
"Linee guida in tema di referti on line" approvate dal Garante per la Privacy con la Deliberazione 19 novembre 2009, n. 36 pubblicata in Gazzetta Ufficiale 11 dicembre 2009, n. 288.
Il provvedimento fissa rigorose misure a protezione dei dati sanitari dei pazienti che intendono utilizzare questo servizio, ricevendo il referto via mail o “scaricando” gli esami clinici direttamente dal sito web della struttura sanitaria.
Punti principali stabiliti dalle Linee guida
l’adesione al servizio dovrà essere facoltativa;
il referto elettronico non sostituirà quello cartaceo che rimarrà comunque disponibile l’assistito dovrà dare il suo consenso sulla base di una informativa chiara e trasparente che spieghi tutte le caratteristiche del servizio di “refertazione on line”;
il referto resterà a disposizione on line per un massimo di 45 giorni e dovrà essere accompagnato da un giudizio scritto e dalla disponibilità del medico a fornire ulteriori indicazioni su richiesta dell’interessato;
per fornire il servizio, le strutture sanitarie pubbliche e private dovranno adottare elevate misure di sicurezza tecnologica (utilizzo di standard crittografici, sistemi di autenticazione forte, convalida degli indirizzi e-mail con verifica on line, uso di password per l’apertura del file) e, nel caso offrano la possibilità di archiviare e continuare a consultare via web i referti, dovranno anche sottoporre ai pazienti una ulteriore specifica informativa e acquisire un autonomo consenso.
Interventi del Garante della Privacy
Provvedimento del 2 ottobre 2009 del Garante per la protezione dei dati personali. Lavoro: anonimato per la diagnosi HIV
I certificati medico-legali attestanti l’idoneità del lavoratore non possono contenere l’indicazione delle patologie cui è eventualmente affetto lo stesso, divieto da osservarsi con maggior rigore se concernono dati sensibili, quali la sieropositività all’HIV.
Lo ha affermato il Garante della Privacy, intervenendo in merito al reclamo avanzato da un dipendente del Ministero della difesa nell'ambito dell'accertamento di idoneità al servizio cui l'interessato si era sottoposto presso la commissione medico legale del Comando di appartenenza.
L’esito della visita, con la diagnosi "sbarrata e omessa", in modo da renderla però facilmente desumibile era circolato all’interno dell’amministrazione, nonostante l’opposizione dell’interessato che aveva invocato il rispetto della normativa vigente a tutela della riservatezza delle persone sieropositive, giungendo a conoscenza di vari settori, quali Ispettorato di sanità della Marina militare, Ufficio generale del personale e Comando di appartenenza.
Contenuto del Provvedimento
In merito, il Garante ha rilevato che l’amministrazione nell'utilizzare per una finalità lecita i dati sensibili relativi allo stato di salute dei lavoratori, ha l'obbligo di conformare il loro trattamento "secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato medesimo."
Nel caso di specie, il Garante ha sottolineato che l’amministrazione doveva adottare ogni soluzione idonea a tutelare la riservatezza del lavoratore interessato per documentare gli accertamenti eseguiti, atteso che i giudizi diagnostici riguardino l'infezione da HIV, attestando, ad esempio, la relativa diagnosi in un atto riservato in luogo del verbale da trasmettere all'amministrazione di appartenenza del lavoratore, ovvero riportando tale diagnosi sul predetto verbale e trasmettendo all'amministrazione un diverso attestato dal quale questa non sia desumibile.
All'esito delle predette visite mediche, volte a verificare l'idoneità al servizio – prosegue il Garante – i collegi medici devono trasmettere all'amministrazione di appartenenza dell'interessato il verbale con la sola indicazione del giudizio medico-legale, con la dicitura “idoneo” ovvero “non idoneo” omettendo qualsiasi altra informazione attinente allo stato di salute dei lavoratori interessati, non pertinente e non realmente indispensabile rispetto alle finalità perseguite.
Provvedimento 25 giugno 2009 emanato dal Garante per la Privacy
Bloccata la diffusione di dati sanitari di una dipendente provinciale pubblicati sul sito dell'ente locale e liberamente reperibili in Internet.
Lo ha stabilito il Provvedimento 25 giugno 2009 emanato dal Garante per la Privacy a seguito della segnalazione di una dipendente che, attraverso un motore di ricerca, aveva rinvenuto on line alcuni atti della provincia in cui erano riportati i suoi dati anagrafici e delicate informazioni sul suo stato di salute, la cui diffusione è vietata dal Codice della Privacy.
Nel disporre il blocco dei dati sanitari trattati in modo illecito, l'Autorità ha ribadito che "le amministrazioni locali, fermo restando il rispetto degli obblighi di legge sulla trasparenza delle deliberazioni dell'ente, devono selezionare con estrema attenzione i dati personali da diffondere, non solo alla luce dei principi di pertinenza, non eccedenza e indispensabilità rispetto alle finalità perseguite dai singoli provvedimenti, ma anche in relazione al divieto di diffusione dei dati idonei a rivelare lo stato di salute".
Provvedimento 2 aprile 2009 del Garante della Privacy
Gli organi di informazione, nel far riferimento allo stato di salute di una determinata persona, identificata o identificabile, sono tenuti al rispetto della dignità e del diritto alla riservatezza e al decoro personale, specialmente quando si tratta di malattie gravi o terminali, casi in cui è dovere del giornalista astenersi dal pubblicare dati analitici di interesse strettamente personale.
E' quanto ha stabilito il Provvedimento 2 aprile 2009 con il quale il Garante della Privacy è intervenuto su segnalazione di un interessato in relazione ad un articolo (pubblicato sul sito web di un quotidiano nazionale) che, narrando la vicenda riguardante una clinica milanese nella quale sarebbero stati effettuati alcuni interventi chirurgici al seno non ritenuti necessari, riportava i nomi delle donne che hanno subito l'intervento chirurgico insieme ad altre descrizioni particolareggiate sulle modalità dell'operazione e le patologie di cui le donne erano affette.
L'Autorità ha vietato al quotidiano l'ulteriore diffusione, anche tramite il sito web, delle generalità delle persone alle quali si riferiscono i dati sensibili e ha disposto l'invio del provvedimento al Consiglio nazionale dell'Ordine dei giornalisti per le valutazioni di competenza.
Fascicolo sanitario elettronico (Fse): le prime linee guida in materia di privacyGarante Privacy , (comunicato stampa 26.03.2009)
Il fascicolo sanitario elettronico dovrà essere costituito esclusivamente per il perseguimento di finalità di prevenzione, diagnosi, cura e riabilitazione. Sarà consultabile dall’interessato con modalità adeguate (ad es., tramite smart card) e dal personale sanitario, strettamente autorizzato e solo per finalità sanitarie. on potranno accedervi invece periti, compagnie di assicurazione, datori di lavoro.
E' quanto illustra il Comunicato 26 marzo 2009 con il quale il Garante della privacy ha emanato le prime linee guida in materia per la protezione dei dati e a garanzia delle persone.In particolare le nuove regole sul documento elettronico di raccolta dei dati sanitari, già in sperimentazione in alcune regioni, prevedono:
libertà di scelta del paziente sul far costituire o meno un fascicolo sanitario elettronico, con tutte o solo alcune informazioni sanitarie che lo riguardano;
informativa al paziente con l'indicazione di chi (medici di base, del reparto ove è ricoverato, farmacisti) ha accesso ai dati, che tipo di operazioni può compiere, ecc.;
adozione di specifici accorgimenti tecnici per assicurare elevati livelli di sicurezza che limitino il più possibile i rischi di accesso abusivo, furto, smarrimento.
Paziente può avere accesso agli atti di indagine interna delle ASL
TAR Lazio, sentenza 06.12.2006 n° 1600
Il Giudice Amministrativo ha ritenuto che la visione degli atti fosse da considerarsi strumentale al fine di tutela dell'interesse del paziente, e che, comunque, non si ravviserebbero particolari esigenze di riservatezza, in quanto la documentazione relativa all'inchiesta potrebbe essere effettuata "omettendo di ostendere dati sensibili relativi a persone o singoli episodi ininfluenti ai fini della tutela richiesta".
La decisione del TAR, seppur condivisibile, non sembra tenere conto della disciplina del codice della Privacy in tema di richiesta di accesso agli atti riguardanti dati idonei a rilevare lo stato di salute (art. 60, 71 e 92 D.lgs 196/2003).L'art. 60 dispone infatti che "quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato”
Il Garante, anche durante il vigore della L. 675/96, aveva peraltro emanato il Provvedimento Generale del 9/3/2003, nel quale regolamentava la materia dell'accesso ai dati idonei a rilevare lo stato di salute, e sottolineava come il trattamento di tali dati fosse consentito solo se il diritto da far valere o difendere sia di rango almeno pari a quello dell’interessato.
Privacy: l'autorizzazione relativa ai dati sulla salute e la vita sessuale Garante Privacy (Provvedimento 21.12.2005, G.U. 03.01.2006)
Autorizzaa) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le
operazioni siano indispensabili per tutelare l'incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità;
b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale;
c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni:
1. il trattamento sia finalizzato alla tutela dell'incolumità fisica e della salute di un terzo o della collettività;
2. manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effettiva irreperibilità;
3. non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art. 85, commi 1 e 2, del Codice;
d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d'intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato.
Strutture sanitarie e privacy: rispetto della dignità del paziente Garante Privacy(Provvedimento 09.11.2005)
Al cittadino che entra in contatto con le strutture sanitarie per diagnosi, cure, prestazioni mediche, operazioni amministrative deve essere garantita la più assoluta riservatezza e il più ampio rispetto dei suoi diritti fondamentali e della sua dignità.Lo ha ribadito il Garante della privacy prescrivendo ad organismi sanitari pubblici e privati (aziende sanitarie territoriali, aziende ospedaliere, case di cura, osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro) una serie di misure da adottare per adeguare il funzionamento e l'organizzazione delle strutture sanitarie.
In particolare gli organismi sanitari devono garantire:
la tutela della dignità del paziente, soprattuto con riguardo a fasce deboli (disabili, minori, anziani), ma anche a pazienti sottoposti a trattamenti medici invasivi o per i quali è doverosa una particolare attenzione (es. interruzione della gravidanza);
la riservatezza nei colloqui e delle informazioni sulla salute, sulle prescrizioni mediche e sulle cartelle cliniche;
distanze di cortesia distanze di cortesia per operazioni amministrative allo sportello (prenotazioni) o al momento dell'acquisizione di informazioni sullo stato di salute, sensibilizzando anche gli utenti con cartelli, segnali ed inviti;
non visibilità ad estranei liste di pazienti in attesa di intervento.
Privacy: la trasmissione di dati sanitari deve avvenire in busta chiusaGarante Privacy , newsletter 18.10.2004
La trasmissione dei dati sanitari deve sempre avvenire in busta chiusa, mentre gli allegati alle note di trasmissione devono essere presenti soltanto se indispensabili.
Lo ha segnalato il Garante della Privacy, nella newsletter 18-31 ottobre 2004, riportando il caso di un cittadino che, dopo essersi sottoposto ad accertamenti sanitari per il riconoscimento di infermità da causa di servizio, lamentava il fatto che i referti gli fossero stati comunicati dall'amministrazione di appartenenza, tramite il messo comunale, dall'amministrazione di appartenenza spillati ad una nota di accompagnamento, anziché custoditi in busta chiusa.
Sanzioni e procedimento giudiziario e
amministrativo
Sanzioni Amministrative
L’organo competente ad irrogare le sanzioni è il Garante.
L’omessa o inidonea informativa all’interessato (art. 13)
E’ punita con la sanzione amministrativa da €. 6.000 a €. 36.000
Art. 162Altre fattispecie
Cessione dei dati Sanzione amministrativa da €. 10.000 a €. 60.000
Dati personali idonei a rivelare lo stato di salute possono essere resi noti all'interessato o prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato; da parte di esercenti le professioni sanitarie ed organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal titolare.
Sanzione amministrativa da €. 1.000 a €. 6.000
Violazione delle misure minime art. 33 o per l’illecito trattamento dei dati art. 167Sanzione amministrativa da €. 20.000 a €. 120.000
Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.
L’inosservanza dei provvedimenti del Garante:che rendono il trattamento conforme alle disposizioni vigenti di vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell'articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati
Sanzione amministrativa da €. 30.000 a €. 180.000
Art. 162-bis. Sanzioni in materia di conservazione dei dati di traffico
Violazione delle disposizioni di cui all'art. 132, commi 1 e 1-bis
Sanzione amministrativa da €. 10.000 a €. 50.000.
Dati relativi al traffico telefonico, sono conservati dal fornitore per 24 mesi dalla data della comunicazione
Dati relativi al traffico telematico sono conservati dal fornitore per 12 mesi dalla data della comunicazione
Per finalità di accertamento e repressione dei reati.
I dati relativi alle chiamate senza risposta sono conservati per 30 giorni
Omessa informazione o esibizione al Garante
Chi omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157
Sanzione amministrativa €. 10.000 a €. 60.000
Casi di minore gravità e ipotesi aggravate
Violazioni amministrative di minore gravità.Avuto altresí riguardo alla natura anche economica o sociale dell'attività svolta, sono applicati in misura pari a due quinti.
In altri casi di maggiore gravità Maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, sono applicati in misura pari al doppio.
Illeciti penali
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali è punito, se dal fatto deriva nocumento,reclusione da sei a diciotto mesise il fatto consiste nella comunicazione o diffusione, reclusione da sei a ventiquattro mesi.
Falsità nelle dichiarazioni e notificazioni al Garante art. 168
Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato.
Rientra l’autocertificazione delle misure minime di cui all’art. 34 comma 1 bis.
Reclusione da sei mesi a tre anni.
Misure di sicurezza art. 169
Chiunque, essendovi tenuto, omette di adottare le misure minime (D.P.S.) previste dall’articolo 33 è punito con: l'arresto sino a due anni o con l'ammenda da €. 10.000 a €. 50.000.
All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a 6 mesi.Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione.L'adempimento e il pagamento estinguono il reato.
Inosservanza di provvedimenti del Garante
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante :
- Autorizzazione al trattamento dei dati sensibili, Il trattamento dei dati genetici;
- Provvedimenti a seguito del ricorso; - Provvedimento che dispone il blocco o vieta, in
tutto o in parte, il trattamento.
è punito con la reclusione da tre mesi a due anni.
Come tutelare i propri diritti in caso di violazione dei propri dati personali?
2 vie possibili:
- Amministrativa Garante della Privacy
- Giudiziaria Tribunale ordinario
Forme di tutela dinanzi al Garante della Privacy“Tutela amministrativa”
Art. 141 Codice Privacy L’interessato può rivolgersi al Garante mediante:
a) Reclamo circostanziato per rappresentare una violazione della disciplina rilevante inmateria di trattamento di dati personali;
b) Segnalazionese non è possibile presentare un reclamo circostanziato al
fine disollecitare un controllo da parte del Garante;
c) Ricorsose intende far valere gli specifici diritti di cui all’articolo 7
“diritto diaccesso ai dati personali ed altri diritti”.
TUTELA ALTERNATIVA A QUELLA GIURISDIZIONALE
I diritti di cui all'articolo 7 possono essere fatti valere dinanzi
- autorità giudiziaria;
- con ricorso al Garante.
Il ricorso al Garante non può essere proposto se, per il medesimo
oggetto e tra le stesse parti, è stata già adita l'autorità giudiziaria.
La presentazione del ricorso al Garante rende improponibileun'ulteriore domanda dinanzi all'autorità giudiziaria tra le
stesseparti e per il medesimo oggetto.
Art. 146Interpello preventivo
Il ricorso al Garante può essere proposto:
- Dopo che è stata avanzata richiesta sul medesimo oggetto al
titolare o al responsabile;
- Siano decorsi 15 giorni dal suo ricevimento e di 30 giorni in
caso le procedure siano complesse;
- Diniego anche parziale della richiesta.
Presentazione del ricorso
- con plico raccomandato;
- per via telematica
firma digitale e alla conferma del ricevimento;
- presentato direttamente presso il Garante.
Provvedimenti del Garante
- In via provvisoria, il blocco in tutto o in parte di taluno dei dati, ovvero l'immediata sospensione di una o più operazioni del trattamento
- Cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione.
Tecnica del silenzio rigetto
La mancata pronuncia sul ricorso, decorsi 60 giorni dalla data di presentazione, equivale a rigetto.
Comunicazione dei provvedimenti deve essere fatto entro dieci giorni e anche mediante posta elettronica o telefax.
Il titolare o l'interessato possono fare opposizione avverso il provvedimento espresso o il rigetto tacito
Ricorso al Tribunale
L'opposizione non sospende l'esecuzione del provvedimento.
Art. 152TUTELA GIURISDIZIONALE
1. Tutte le controversie che riguardano l'applicazione delle disposizioni del codice privacy, comprese quelle inerenti ai provvedimenti del Garante sono attribuite all'autorità giudiziaria ordinaria.
2. Per tutte le controversie, l’azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento.
3. Il tribunale decide in ogni caso in composizione monocratica.
Procedimento
Decreto di fissazione dell’udienza di comparizioneIl ricorrente deve notificarlo alle parti e al Garante
Tra il giorno della notificazione e l'udienza di comparizione intercorrono non meno di 30 giorni.
Udienza di comparizioneConcessione di eventuali note difensive
Udienza per la discussione
Pronuncia della sentenzaLa sentenza non è appellabile, ma è ammesso il ricorso per cassazione.
Procedimento d’urgenza
Quando sussiste pericolo imminente di un danno grave ed irreparabile.
Con il decreto di fissazione dell’udienza di comparizione il giudice emana i provvedimenti necessari.
Udienza di comparizione entro 15 giorni
In tale udienza, con ordinanza, il giudice conferma, modifica o revoca i provvedimenti emanati con decreto.
Competenza Territoriale
L’azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento
"titolare", persona fisica, giuridica, P.A. e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza
Difetto di giurisdizione
Con ordinanza del 25 maggio 2005, il T.A.R. Lazio ha respinto la domanda di sospensione presentata dai ricorrenti, rimettendo ogni decisione, anche in ordine alla questione della giurisdizione, alla fase di merito.
Difetto di competenza territoriale
Vari giudizi introdotti, in particolare, nel 2005 avanti al Giudice di pace di Taranto.
Orientamento giurisprudenzialesulla competenza territoriale
Tribunale di Roma (sentenza del 10 gennaio 2006)
Tribunale di Viterbo (sentenza n. 767 del 7 settembre 2005).
Tribunale di Napoli (sentenza n. 11727 del 25 novembre 2005)
Corte di Cassazione CivileOrdinanza 31/05/2006, n.12980
Non applicabilità del foro del consumatoreex. art. 1469 bis. (sostituito dall’art. 63 delD.Lgs n. 206/2005).Poiché non può concorrere con il foroindividuato dall’art. 152 co. 2° T.U.
Privacy
Competenza a carattere esclusivo
Motivi della decisione
Non si può assimilare la disciplina della tutela del consumatore a quella dell'interessato al trattamento dei dati personali
Sono due materie che presentano una "ratio" ben diversa e per le quali l'ordinamento giuridico ha apprestato rimedi differenti.
Due interessi diversi da tutelare
Consumatoresi apprestano strumenti di tutela nei confronti del "professionista" che trovano la loro ragione d'essere nella differente forza contrattuale delle parti.
Trattamento dei dati personali la "ratio" si rinviene esclusivamente nella particolare natura dell'attività di trattamento d'informazioni relative a soggetti identificati o identificabili, indipendentemente dalla posizione delle parti e dai loro rapporti di forza, attività che si assume come potenzialmente lesiva dei diritti individuali.
GRAZIE PER L’ATTENZIONE
ARRIVEDERCI
Avv. Pasquale LoprioreSpecialist in Legal Information Technology
___________________________________Sito web: http://p.lopriore.googlepages.com
E-mail: [email protected]
