Newsletter 1 - 7 novembre 1999

• Denunce  di infortunio sul lavoro.
• Accesso differito alle perizie medico legali.
• Consenso parziale del lavoratore.
• Legislazione bancaria negli Usa e privacy.
• Nel Regno Unito rischi per la legge sulla e-mail.

Denunce di infortunio sul lavoro

Gli enti di assistenza possono conoscere gli elenchi delle denunce di infortunio sul lavoro relative agli assistiti che abbiano conferito il proprio mandato.

Alcune amministrazioni comunali hanno chiesto al Garante se un istituto nazionale di assistenza sociale possa visionare le denunce di infortunio sul lavoro che i datori di lavoro segnalano al Sindaco in quanto autorità locale di pubblica sicurezza.

Nella risposta il Garante ha osservato che il decreto legislativo n. 135 del 1999, che integra la legge sulla privacy, ha previsto un´articolata disciplina per il trattamento di dati sensibili da parte dei soggetti pubblici. Tale disciplina, nell´ambito del rapporto di lavoro, ha individuato, fra le rilevanti finalità di interesse pubblico, l´adempimento di specifici obblighi o compiti previsti in materia di igiene e sicurezza sul lavoro.

Il medesimo decreto consente, sulla base della normativa specifica in materia, agli istituti di patronato ed assistenza sociale, alle associazioni di categorie e agli ordini professionali, di conoscere, anche per via telematica, i dati di coloro che hanno subito infortuni sul lavoro, ma soltanto nel caso in cui abbiano ricevuto un esplicito mandato di assistenza.

Invece, sia la normativa in materia di igiene e sicurezza sul lavoro, sia il testo unico in materia di assicurazione obbligatoria contro gli infortuni sul lavoro, non prevedono che gli istituti di assistenza sociale, che hanno personalità giuridica di diritto privato, possano accedere, anche solo per presa visione, alla globalità degli elenchi delle denunce di infortunio sul lavoro detenuti dal Sindaco, quale autorità locale di pubblica sicurezza.

La competenza, affidata agli enti di patronato per lo svolgimento di attività di informazione, consulenza e assistenza in materia di sicurezza e salute sui luoghi di lavoro, non è infatti una circostanza idonea a consentire la conoscibilità da parte degli enti stessi della globalità dei suddetti elenchi delle denunce di infortunio.

Accesso differito alle perizie medico legali

Quando un assicurato è in causa con la sua società di assicurazione o sta per avviare una controversia giudiziaria, l´accesso ai dati contenuti nelle perizie medico legali, effettuate dall´assicurazione, può essere temporaneamente differito per il periodo in cui tale conoscenza può arrecare effettivo pregiudizio all´esercizio del diritto di difesa.

L´occasione per ribadire questo principio, affermato dall´art. 14 della legge n. 675 del 1996, è stata offerta dal caso di un sottoscrittore di una polizza di assicurazione sanitaria che aveva chiesto di accedere ai dati contenuti nella perizia medico legale effettuata da un medico per conto della società assicuratrice. Non avendo ottenuto soddisfazione dall´assicurazione, l´interessato aveva presentato ricorso al Garante.

Esaminando il ricorso, l´Autorità ha ricordato che nelle perizie medico legali si ritrovano, normalmente, tre categorie di dati:

1. dati identificativi di tipo anagrafico;
2. dati riferiti allo stato di salute, con particolare riferimento all´anamnesi;
3. la valutazione peritale vera e propria che risulta dalla visita medica cui viene sottoposto l´assicurato da parte del medico fiduciario dell´assicurazione, la parte della perizia cioè nella quale il medico esprime appunto un giudizio sul rapporto tra sinistro denunciato e patologie lamentate per le quali l´interessato chiede il risarcimento nonché, spesso, valutazioni e giudizi sull´eventuale grado di genuinità delle istanze presentate all´assicurazione.

A giudizio del Garante, le informazioni risultanti da visite mediche, e le relative valutazioni, sono dati personali: nei loro confronti si può quindi esercitare il diritto di accesso previsto dall´art. 13 della legge sulla privacy ( accesso, aggiornamento, rettificazione, cancellazione ecc.).

Tuttavia, quando c´è una causa in corso o ci si trova in situazioni propedeutiche ad una controversia, all´istanza dell´interessato può non seguire una immediata messa a disposizione di tutti i dati personali.

In ipotesi di questo genere, ha sottolineato l´Autorità, si può, infatti, far valere la particolare norma della legge (art. 14 primo comma lett.e) che prevede un differimento temporaneo dell´esercizio del diritto di accesso qualora la conoscenza immediata, da parte dell´interessato, di alcuni dati che lo riguardano, possa determinare un pregiudizio per l´esercizio del diritto di difesa della controparte.

Il Garante ha precisato che il titolare del trattamento (nel caso, l´assicurazione) che vuole avvalersi del differimento non deve però limitarsi a far riferimento alla norma che lo prevede, ma deve fornire adeguate motivazioni che diano ragione del pregiudizio effettivo cui si andrebbe incontro in caso di immediato accesso ai dati.

Inoltre, per meglio bilanciare gli interessi tra titolare del trattamento ed interessato, il Garante ha effettuato un´attenta disamina delle vicende specifiche sottoposte, allo scopo di verificare l´esistenza dei presupposti che legittimassero il differimento.

Nel caso esaminato, ci si trovava infatti in una situazione precontenziosa, il cui ulteriore sviluppo poteva portare, a breve termine, o ad un accertamento probatorio sulle condizioni effettive dell´interessato, d´intesa tra le parti (in base ad una precisa norma del contratto di assicurazione), o ad una controversia giudiziaria di fronte alla magistratura ordinaria.

Il Garante, dunque, pur riconoscendo la presenza di motivi che rendevano opportuno il differimento ai profili valutativi contenuti nella perizia medico legale, ha riconosciuto l´immediato diritto di accesso ai dati sanitari obiettivamente riscontrabili, presenti nella perizia.

L´Autorità ha, infine, sottolineato che, essendo il differimento previsto dalla legge n. 675 del 1996 a carattere temporaneo, una volta cessate le esigenze di tutela, il diritto di accesso potrà riespandersi e questi dati dovranno essere integralmente comunicati all´interessato che ne abbia fatto richiesta, anche in riferimento alle valutazioni espresse in sede di perizia medico legale dal medico fiduciario della società assicuratrice, nonché alle opinioni dello stesso in ordine al complessivo comportamento dell´interessato in relazione alla gestione del sinistro.

Consenso parziale del lavoratore

I dipendenti possono dare un consenso parziale al trattamento dei propri dati personali, ma questa possibilità non deve portare ad un appesantimento degli adempimenti previsti dalla legge sulla privacy, né ad un suo uso strumentale.

Il Garante ha sancito il principio in risposta ad un´associazione di categoria, la quale aveva sottoposto il caso in cui il datore che abbia informato il dipendente sui trattamenti dei dati personali che intende realizzare e abbia chiesto il relativo consenso, riceva dal lavoratore un assenso non generale, ma, frazionato di volta in volta, solo per alcune utilizzazioni. L´associazione aveva chiesto se fosse ammissibile una manifestazione del consenso appunto frazionata, sottolineando, in particolare, i problemi che sorgerebbero nel caso in cui il lavoratore prestasse il consenso esclusivamente per i trattamenti svolti a suo vantaggio, negandolo eventualmente per altri pure inerenti al rapporto di lavoro.

Nel suo parere, il Garante ha innanzitutto ricordato che la legge n. 675 del 1996 mira a garantire all´interessato il controllo sui flussi delle informazioni che lo riguardano. Uno degli strumenti perché ciò possa avvenire è appunto quello del consenso informato, posto come condizione perché i trattamenti possano essere effettuati, fatti salvi alcuni casi specifici per il trattamento di categorie particolari di dati.

La legge prevede esplicitamente che il consenso possa riguardare l´intero trattamento oppure una o più operazioni (raccolta, elaborazione, conservazione, comunicazione, diffusione ecc.). E´ possibile, infatti, che, all´interno di un medesimo trattamento, siano considerate anche operazioni non strettamente necessarie al perseguimento della finalità principale per la quale esso viene svolto, oppure operazioni che comportano l´utilizzo di dati particolarmente delicati, per i quali, a tutela dell´interessato, sia necessaria la manifestazione di un consenso differenziato.

Tuttavia, la necessità di semplificare quanto più possibile gli adempimenti e di garantire la correttezza nei rapporti negoziali, rende auspicabile una considerazione unitaria delle operazioni relative ad un trattamento.

Il Garante, in particolare, ha affermato che, quando i trattamenti che il datore di lavoro intende effettuare siano svolti nel rispetto dei principi della legge, "la manifestazione di un consenso generale da parte del lavoratore costituisce una manifestazione di quella generale lealtà e correttezza che deve improntare i comportamenti fra le parti. Ciò ovviamente non pregiudica in alcun modo al lavoratore il suo diritto di chiedere la verifica o di opporsi a specifiche forme di utilizzazione di dati ritenute non corrette o non giustificate dal rapporto in essere".

Si dovrà, quindi, evitare, sia da parte del datore di lavoro sia del dipendente, di utilizzare in maniera strumentale le norme sulla privacy allo scopo di danneggiare o rendere più onerosa e difficile l´attività della controparte.

In conclusione, dovrebbe ricorrersi ad una manifestazione di consenso differenziata solo nel caso in cui il datore di lavoro intenda effettuare trattamenti non rientranti nell´ordinaria gestione del rapporto stesso o caratterizzati da una marcata specificità (ad esempio, per trattamenti del tutto particolari di dati sensibili).

Il consenso non pregiudica, comunque, in alcun modo il diritto del lavoratore di verificare l´uso che viene fatto dei suoi dati o di opporsi a specifiche forme di utilizzazione degli stessi ritenute non corrette o non giustificate.

Nel caso, invece, in cui i dati richiesti o i trattamenti previsti eccedessero quelli ordinariamente necessari alla gestione del rapporto di lavoro, non solo sarebbe giustificabile il rifiuto di prestare il consenso, ma anche l´eventuale subordinazione della stipula del contratto di lavoro alla prestazione del consenso costituirebbe una violazione della legge sulla riservatezza dei dati, la quale stabilisce che il consenso è valido solo se espresso liberamente.

Legislazione bancaria negli Usa e privacy
(articolo pubblicato sull´ International Herald Tribune del 26 ottobre)

Se il Congresso USA voterà questa settimana, come previsto, gli emendamenti alla legislazione bancaria della nazione, che risale all´epoca della Grande Depressione, farà molto di più che aprire la strada alla creazione di supermarket finanziari tuttofare.

Darà alle imprese anche opportunità senza precedenti per raccogliere e condividere enormi quantità di dati personali sulla clientela.

La possibilità di realizzare questi scambi di dati, secondo quanto affermato dai sostenitori della riforma, è indispensabile per permettere alle imprese di fornire i servizi che il disegno di legge intende rendere possibili.

Tuttavia, in un´epoca in cui i dati personali sono divenuti una risorsa inestimabile per il marketing, i difensori dei consumatori e della privacy temono che la nuova legge darà alle banche ed alle compagnie di assicurazione un vantaggio illimitato rispetto alla clientela.

Gli istituti finanziari potranno condividere non soltanto le informazioni relative al reddito, agli investimenti, ai beni ed alla solvibilità della clientela, ma anche la sommatoria particolareggiata di informazioni relative ai ristoranti preferiti, ai rivenditori preferiti ed alle spese sanitarie sostenute.

"Le disposizioni a salvaguardia della privacy inserite nel disegno di legge sono in pratica fittizie", ha affermato Richard Shelby, senatore repubblicano per lo Stato dell´Alabama e membro della commissione che la scorsa settimana ha negoziato il compromesso finale.

Il senatore ha dichiarato che non avrebbe sottoscritto la relazione finale della commissione destinata alle sezioni riunite del Congresso, che dovrebbe ratificarla entro questa settimana.

Ma Charlotte Birch, portavoce della American Bankers Association, ha affermato che la possibilità di condividere informazioni fondamentali sulle attività finanziarie della clientela costituiva un requisito primario degli emendamenti legislativi.

"Il nocciolo del problema sta nel riuscire ad offrire alla clientela servizi finanziari integrati," ha dichiarato. "Per fornire questo tipo di servizi integrati alla clientela, vuoi attraverso estratti conto comuni, vuoi attraverso facilitazioni per le richieste di prestiti o mutui, o attraverso qualsiasi altro strumento, la condivisione delle informazioni fra soggetti affiliati costituisce un ottimo affare per la clientela."

"Bisogna partire dal principio che il rapporto fra banca e cliente si fonda sulla fiducia"; ha dichiarato la Birch. "Le imprese non possono permettersi di affrontare il problema in alcun altro modo."

La battaglia sulle salvaguardie per la privacy contenute nel disegno di legge in materia bancaria è scaturita da una contrapposizione che tende a salire in primo piano nel dibattito politico: quella sul modo di bilanciare i benefici che le nuove tecnologie offrono ai consumatori ed alle imprese con la minaccia di un´intromissione senza precedenti nella privacy delle persone.

E la bontà di questo compromesso resta fonte di un´aspra controversia fra le lobby bancarie e le associazioni per la difesa dei consumatori.

A prima vista il disegno di legge sembra offrire ai consumatori una tutela della privacy migliore rispetto alla legislazione attualmente in vigore, in quanto per la prima volta prevede l´obbligo per le banche di consentire alla clientela di sapere se i loro dati personali vengano rivenduti a soggetti terzi. Il disegno prevede inoltre che le banche debbano cancellare i dati di una persona da elenchi compilati a fini di marketing in base ad una richiesta del cliente.

Ma il disegno di legge permette anche la fusione di compagnie assicurative, società di intermediazione, banche e gestori di carte di credito, dando loro la possibilità di condividere tutti i dati in loro possesso relativamente a ciascuno dei rispettivi clienti.

Nel Regno Unito rischi per la legge sulla e-mail
(articolo pubblicato sul Financial Times del 26 ottobre)

Potrebbe comportare "una violazione" della Convenzione europea dei diritti dell´uomo.

La proposta di legge del Regno Unito sul commercio elettronico rischia di comportare una violazione della Convenzione europea dei diritti dell´uomo: questo il messaggio comunicato ieri al governo. Il disegno di legge sulle comunicazioni elettroniche suscita "gravi preoccupazioni" che "possono senz´altro condurre ad un´immediata impugnazione", secondo quanto affermato dai maggiori esperti in tema di diritti dell´uomo.

Il governo sarebbe obbligato a modificare la normativa se l´autorità giudiziaria dovesse stabilire che essa viola la convenzione, che sarà incorporata nel diritto britannico il prossimo mese di ottobre.

Le critiche mosse al disegno fanno perno sui controversi poteri attribuiti alle forze dell´ordine ai fini della decrittazione di messaggi e-mail in codice. Si tratta di un argomento che si è rivelato particolarmente spinoso per il governo, impegnato a bilanciare l´obiettivo primario del disegno di legge (ossia, la promozione del commercio elettronico) con l´esigenza di combattere la criminalità informatica. Il governo ha già dovuto rinunciare ad una proposta che prevedeva l´obbligo, per gli utenti di tecniche crittografiche, di depositare presso soggetti terzi le chiavi di decrittazione, per le insistenze del settore imprenditoriale che sosteneva l´impraticabilità di questo approccio.

Il disegno di legge attualmente consente alla polizia di notificare un´ingiunzione scritta per chiedere la decifrazione di una comunicazione ovvero la consegna della chiave privata di cifratura. La configurazione di questi ampi poteri comporta una serie di potenziali violazioni della Convenzione europea, secondo il parere scritto del Professor Jack Beatson e del Professor Tim Eike - due dei maggiori giuristi esperti di diritti dell´uomo.

I due avvocati hanno dichiarato che il mancato rispetto di un´ingiunzione di questo tipo costituirà un reato, a meno che l´interessato possa dimostrare di non essere in possesso della chiave o di non potervi accedere.

Questa evidente inversione del principio di presunzione dell´innocenza potrebbe confliggere con il diritto ad un equo processo sancito dalla Convenzione.

Potrebbe verificarsi anche una violazione del diritto di evitare un´autoincriminazione, in quanto la comunicazione della chiave di cui sopra potrebbe portare all´individuazione di materiale dannoso; lo stesso dicasi per il diritto alla privacy.

"Il governo deve ripensare questa parte del disegno di legge", ha dichiarato Peter Noorlander, responsabile delle politiche giuridiche presso Justice, l´organizzazione per i diritti dell´uomo che ha commissionato il parere prima menzionato.

"Ci sono altri modi, meno invasivi, per permettere alla polizia di accedere ad informazioni cifrate se si sospettano attività criminali".

Ieri, fonti del Ministero dell´interno hanno affermato di ritenere che, nonostante le critiche, il disegno di legge di fatto rispetti le disposizioni della Convenzione.