Newsletter 3 - 9 dicembre 2001

• Nel fascicolo personale conservazione separata per i dati sulla salute
• Clausole contrattuali per flussi di dati verso filiali fuori dell’UE

Nel fascicolo personale conservazione separata per i dati sulla salute

I dati sullo stato di salute del dipendente devono essere conservati separatamente rispetto alle altre informazioni personali. Il fascicolo, che raccoglie tutti gli atti relativi alla sua nomina, al percorso professionale e ai fatti più significativi che lo riguardano, può mantenere la sua unitarietà, purché si adottino particolari cautele.

I principi sono stati affermati in un provvedimento con il quale l’Autorità Garante ha parzialmente accolto il ricorso di un dipendente che lamentava un illegittimo trattamento di dati sanitari da parte del suo datore di lavoro. Il lavoratore, vittima di alcuni commenti da parte di colleghi su alcuni disturbi di cui soffre, si era rivolto alla sua amministrazione chiedendo che venissero estrapolate dal proprio fascicolo e segretate ricette mediche e certificati relativi alle sue condizioni di salute, in modo da impedirne la conoscenza al personale non autorizzato.

L’ente pubblico, invitato dall’Autorità a fornire un riscontro alle istanze del dipendente, ha sostenuto la legittimità del proprio comportamento, affermando di essere venuto a conoscenza di particolari riguardanti la malattia dallo stesso lavoratore che, per giustificare alcuni periodi di assenza, aveva prodotto certificati in cui era riportata, oltre la prognosi, anche la diagnosi.

Il Garante ha definito il ricorso accogliendo la richiesta del dipendente che sollecitava nuove modalità di custodia dei dati più delicati che lo riguardavano. A giudizio dell’Autorità, le informazioni fornite dal datore di lavoro non garantivano compiutamente il rispetto della normativa sulla privacy che prevede (nel caso di specie, si trattava di un soggetto pubblico) la conservazione separata dei dati relativi allo stato di salute e alla vita sessuale dagli altri dati personali (decreto legislativo n.135/1999).

La necessità di dare applicazione al principio della conservazione separata di questa delicata categoria di dati vale anche in riferimento ai fascicoli personali cartacei, i quali, pur dovendo mantenere la loro unitarietà in relazione ai singoli dipendenti interessati, richiedono l’adozione di cautele per assicurare con opportuni accorgimenti tale separazione: ad esempio, utilizzando sezioni o sottofascicoli dedicati alla custodia di eventuali dati sensibili, da conservare chiusi o comunque con modalità che riducano la possibilità di una indistinta consultazione nel corso delle ordinarie attività amministrative.

L’Autorità ha, inoltre, sottolineato che la normativa vigente, pur non arrivando a stabilire un obbligo di assoluta e integrale segretazione dei dati sensibili da parte del datore di lavoro, ha introdotto una serie di obblighi e cautele da rispettare nel trattamento dei dati personali. L’ente è quindi tenuto a impiegare tecniche, codici, o altri sistemi che permettano di identificare gli interessati solo in caso di necessità e unicamente per lo svolgimento di rilevanti finalità di interesse pubblico (art. 3 d.lg. n.135/99).

Il Garante non ha invece ritenuto fondati gli altri motivi addotti dal ricorrente ribadendo il principio che i soggetti pubblici non devono acquisire il consenso per trattare i dati personali comuni e sensibili dei loro dipendenti e che la normativa sulla privacy non ha introdotto un divieto assoluto e generalizzato per il personale non medico di trattare dati sullo stato di salute.

L’Autorità ha, comunque, avviato un procedimento separato nei confronti dell’ente per approfondire altri profili di possibile illegittimità nel trattamento dei dati personali del dipendente.

Clausole contrattuali per flussi di dati verso filiali fuori dell’UE

La Commissione europea ha ottenuto il via libera del Comitato consultivo formato da rappresentanti dei governi dei Paesi membri dell’UE rispetto al progetto di decisione che riguarda l’adeguatezza delle clausole contrattuali standard per il trasferimento di dati personali verso incaricati (i "responsabili" della legge italiana) in Paesi terzi. Dopo il parere favorevole del Gruppo dei Garanti europei, ottenuto lo scorso settembre, si attende la comunicazione del Parlamento europeo sul testo. Secondo i servizi della Commissione, è molto probabile che la decisione possa essere pubblicata sulla Gazzetta Ufficiale delle Comunità Europee entro la fine di quest’anno. In tal caso, le clausole saranno applicabili dal 3 aprile 2002.

Come avvenuto per le clausole contrattuali tipo già approvate, che sono state rese esecutive nel nostro Paese con un’autorizzazione del Garante (pubblicata sulla Gazzetta Ufficiale n. 250 del 26.11.2001), è probabile che anche per queste nuove clausole si ricorra ad un analogo provvedimento dell’Autorità.

Anche in questo caso, come per le clausole contrattuali standard riguardanti il trasferimento verso titolari aventi sede in Paesi terzi, l’obiettivo è facilitare i flussi di dati verso Paesi nei quali, sinora, la Commissione non ha ritenuto che esista un livello di protezione dei dati "adeguato" ai sensi della Direttiva 95/46 - in pratica, tutti i Paesi al di fuori dello Spazio economico europeo tranne Ungheria e Svizzera, le quali sono state oggetto di una decisione in cui si è riconosciuta l’adeguatezza della legislazione nazionale in termini di protezione dei dati.

Le clausole contrattuali proposte realizzano una delle possibilità previste dall’articolo 26(2) della direttiva comunitaria, che consente il trasferimento di dati verso Paesi terzi dove non sussista un livello di protezione adeguato nel rispetto di determinate condizioni - fra cui, in particolare, l’impiego di specifiche clausole contrattuali. In pratica, gli Stati membri dell’UE dovranno considerare di regola lecito il trasferimento di dati personali verso un "responsabile" del trattamento situato in un Paese terzo che non assicuri un adeguato livello di protezione dei dati personali in tale Paese, se il titolare con sede nell’UE e il responsabile con sede nel Paese terzo si accorderanno sull’incorporazione in un contratto delle clausole in questione. Si tratta di uno strumento che integra la decisione della Commissione con cui, nello scorso luglio, si è approvato l’uso di analoghe clausole contrattuali standard per i trasferimenti di dati fra distinti "titolari" di trattamento (decisione 2000/497/CE).

Va sottolineato che l’utilizzazione di tali clausole avviene su base volontaria. Esse si applicheranno, come si è detto, al trasferimento di dati personali effettuato da un titolare di trattamento ("azienda madre") situato sul territorio dell’UE verso un incaricato del trattamento ("filiale") situato in un Paese terzo.

Le clausole contrattuali tipo saranno utilizzabili, in sostanza, nel quadro di un accordo fra l’esportatore dei dati (il titolare che trasferisce i dati personali) e l’importatore dei dati (il responsabile che riceve i dati personali dall’esportatore ai fini di un trattamento da effettuarsi per conto del titolare-esportatore e in conformità alle clausole stesse) situato in un Paese terzo. Il principio fondamentale è che la legge regolatrice del contratto è quella dello Stato membro in cui ha sede l’esportatore dei dati (quindi, la legge di uno dei Paesi dell’UE). Rispetto alle clausole contrattuali standard riferite ai trattamenti fra "titolari UE" e "titolari non-UE", in questo caso gli obblighi e le responsabilità di esportatore ed importatore non sono in tutto identici proprio perché l’importatore agisce comunque sul presupposto del rispetto di istruzioni impartite dal "titolare UE". Questi ha dunque, in particolare, l’obbligo di fornire al responsabile istruzioni coerenti con il rispetto della normativa sulla protezione dei dati nel Paese di origine; di verificare che l’importatore offra garanzie adeguate in termini di misure di sicurezza, di informarlo di ogni correzione, cancellazione, aggiornamento o altra modifica apportata ai dati personali oggetto del trasferimento. L’importatore, a sua volta, è tenuto al rispetto delle istruzioni impartite dal titolare-esportatore, ad impegnarsi a non trasferire a terzi i dati ricevuti dall’esportatore senza l’autorizzazione di quest’ultimo, a dare formale garanzia (attraverso la sottoscrizione delle clausole contrattuali stesse) di avere adottato le misure tecniche ed organizzative previste dalla legge dello Stato in cui ha sede l’esportatore, comprese le misure di sicurezza necessarie, ed ogni altro provvedimento eventualmente opportuno alla luce degli specifici rischi per il trattamento derivanti dal fatto che esso si svolge nel Paese terzo in questione. La pertinente documentazione deve essere allegata al contratto e ne costituisce parte integrante.

L’esportatore è responsabile per i danni derivanti da violazioni delle disposizioni che riguardano gli interessati (i quali nelle clausole vengono indicati come "terzi beneficiari" del contratto), indipendentemente dal fatto che tali violazioni siano state commesse dall’esportatore stesso o dal responsabile/incaricato che ha importato i dati. Gli interessati hanno dunque diritto al risarcimento del danno nei confronti del solo esportatore, ma possono rivalersi sull’importatore qualora il titolare-esportatore abbia dichiarato fallimento o risulti irreperibile; importatore ed esportatore sono tenuti ad un indennizzo reciproco per quanto riguarda spese processuali, ammende o perdite sostenute dall’uno o dall’altro a seguito di violazioni delle clausole. Se la controversia non può essere risolta in via amichevole gli interessati possono ricorrere alla mediazione di un terzo indipendente (compresa eventualmente l’autorità di controllo nazionale), oppure all’autorità giudiziaria dello Stato UE in cui ha sede l’esportatore, oppure ad un organismo arbitrale (previo accordo dell’importatore con l’interessato).

Le autorità nazionali di controllo avranno il compito di vigilare sull’applicazione corretta delle clausole contrattuali; in particolare, esse possono chiedere alle parti il deposito del contratto, ed hanno il diritto di condurre accertamenti presso l’importatore alle stesse condizioni e con gli stessi poteri applicabili nei confronti dell’esportatore-titolare ai sensi del diritto interno.

Va sottolineato che una clausola specifica riguarda la conclusione del contratto; ossia, al termine dei trattamenti che hanno reso necessaria la sottoscrizione delle clausole, l’importatore è tenuto a restituire all’esportatore tutti i dati personali trasferiti e le eventuali copie, ovvero a distruggerli dandone attestazione all’esportatore. La decisione in merito spetta al titolare-esportatore; qualora la normativa del Paese terzo vieti la distruzione o la cessione dei dati personali trasferiti, l’importatore si impegna a garantirne la riservatezza e a non utilizzarli per alcun trattamento.

Analogamente alle clausole contrattuali già approvate dalla Commissione, anche queste dovranno essere sottoscritte da entrambe le parti (esportatore e importatore), che sono tenute inoltre a compilare e sottoscrivere un’Appendice in cui sono specificate le attività pertinenti al trasferimento, le generalità di esportatore e importatore, le categorie di interessati, le categorie di dati oggetto del trasferimento (in particolare per quanto riguarda i dati cosiddetti "sensibili"); in un’altra Appendice dovranno essere elencate le misure di sicurezza messe in atto dall’importatore ai sensi delle clausole o della normativa di riferimento, da allegare anch’essa al contratto.