Newsletter 7 - 13 giugno 1999
  
  

• Trattamenti di dati sanitari nei trapianti.
• Accesso alle banche dati e spese per i ricorsi al Garante.
• Non è possibile far cancellare i dati conservati dagli uffici giudiziari.
• Le rilevazioni delle presenze con il badge sono dati personali.
• Ritardi nell´accordo sui dati UE.

Trattamenti di dati sanitari nei trapianti

Una società impegnata nella fornitura di materiale medico-sanitario intende ampliare la propria attività e offrire alle strutture ospedaliere materiale per trapianti ricavato dalla trasformazione di tessuti ossei di origine umana. Il procedimento di trasformazione consisterebbe, secondo le informazioni fornite dalla società, nella raccolta e nella trasformazione di residui ossei da pazienti che, avendo subito interventi chirurgici di tipo ortopedico, hanno consentito ad una loro donazione.

La società ha, dunque, chiesto al Garante di essere autorizzata:

• a trattare i dati sulla salute dei donatori,
• a conservare tali dati fino al termine di utilizzabilità del tessuto osseo donato o, in caso di trapianto, fino alla comunicazione del decesso del ricevente
• alla trasmissione dei dati personali di tipo ordinario e di quelli sulla salute del donatore ad un laboratorio di uno dei paesi dell´Unione europea incaricato di effettuare il trattamento di trasformazione del tessuto osseo.

Il Garante ha risposto che il trattamento dei dati sulla salute dei donatori può considerarsi già autorizzato in base all´Autorizzazione n.2/1998 sul trattamento dei dati idonei a rivelare lo stato di salute (G.U. 1.10.1998, n.239), nella parte relativa al trattamento dei dati e alle operazioni indispensabili "per adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura all´interessato di beni, di prestazioni o di servizi". Nel caso specifico, possono rientrare nella nozione di "interessato" sia la figura del donatore che quella del beneficiario.

L´Autorizzazione del Garante consente, inoltre, sia la conservazione dei dati sulla salute del donatore nelle fasi indicate nella richiesta, sia la comunicazione al laboratorio del paese europeo, a condizione che tali trattamenti siano effettivamente necessari per l´esecuzione delle metodologie di prelievo e di conservazione del tessuto osseo. Il provvedimento autorizza anche, in caso di trapianto, a fornire idonee garanzie di sicurezza sia al donatore sia al beneficiario.

Il Garante ha però segnalato alla società la necessità di riformulare il modello di informativa e consenso da sottoporre al donatore e al beneficiario. Nell´informativa deve, infatti, risultare con chiarezza i due "titolari" del trattamento, la struttura ospedaliera e la società fornitrice del materiale per trapianti, e il responsabile del trattamento, che potrà essere anche il laboratorio straniero se formalmente designato dalla società.

Va, inoltre, ricordato che, in base alla legge n.135 del 1990 sull´AIDS, la comunicazione di risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV può essere data esclusivamente alla persona cui tali esami sono riferiti.

La legge n.675 del 1996, infine, obbliga, com´è noto, il titolare del trattamento ad acquisire il consenso degli interessati al trattamento dei dati. Il Garante ha valutato, quindi, positivamente la soluzione semplificativa, prospettata dalla società, di anticipare il momento della manifestazione del consenso alla fase antecedente al prelievo, alla raccolta e alla conservazione del tessuto osseo, e di porre tale adempimento a carico della struttura sanitaria. Quest´ultima può richiedere sia per proprio conto sia per la società interessata ed eventualmente anche per il laboratorio europeo un consenso relativo alle diverse fasi del trattamento e ai diversi titolari.

Accesso alle banche dati e spese per i ricorsi al Garante

Quando non vengono soddisfatte con tempestività le legittime richieste di un cittadino che vuol far valere i diritti tutelati dalla legge sulla privacy ed è quindi costretto a presentare ricorso al Garante, il gestore della banca dati, qualora vi sia una esplicita richiesta del ricorrente, può essere obbligato a pagare le spese del ricorso.

Il Garante ha posto a carico di una società privata l´ammontare, fissato in misura forfettaria, delle spese e dei diritti riguardanti un ricorso presentato e vinto da un cittadino che aveva cercato inutilmente di conoscere, ai sensi dell´art.13 della legge 675 del 1996, gli scopi per i quali erano stati raccolti ed utilizzati i suoi dati personali e di cancellare le informazioni trattate in violazione della legge.

La società non aveva risposto e l´interessato aveva presentato ricorso al Garante affinché tutelasse i suoi diritti e facesse rispettare l´adempimento. L´Autorità ha pertanto invitato la società ad aderire spontaneamente alle richieste del ricorrente e ad informare con immediatezza la stessa Autorità delle determinazioni adottate.

A seguito dell´intervento del Garante, la società ha adempiuto a quanto richiesto, ma in ragione della tardiva adesione alle richieste del cittadino, e per questo parte soccombente nel ricorso, si sono viste attribuire le spese e i diritti dovuti per la definizione del ricorso.

Non è possibile far cancellare i dati conservati dagli uffici giudiziari

Non e´ possibile far cancellare i dati conservati dagli uffici giudiziari per ragioni di archivio e documentazione.

Il Garante ha ritenuto inammissibile il ricorso di una persona che si era lamentata del fatto che il Ministero di grazia e giustizia ed il Tribunale della sua città continuerebbero a detenere alcuni suoi dati personali relativi ad una vicenda giudiziaria conclusasi nel 1994 con un provvedimento di archiviazione. Secondo il ricorrente la conservazione di tali dati presso il registro generale della cancelleria del Tribunale comporterebbe alcune conseguenze negative specialmente per quanto concerne lo svolgimento di svariate pratiche amministrative, nei concorsi pubblici e per il rilascio di documenti.

L´interessato aveva inoltrato una richiesta al Ministero, al Procuratore della Repubblica presso il Tribunale e al CED del Dipartimento di pubblica sicurezza, ma poiché aveva ricevuto riscontro positivo solo da quest´ultimo, si era rivolto al Garante affinché provvedesse a far cancellare i dati, riguardanti sia l´iscrizione del reato nel casellario giudiziale e sia la conseguente archiviazione, contenuti negli archivi del Tribunale.

Il Garante ha innanzitutto osservato che, a parte l´esattezza o meno dell´individuazione del Ministero di grazia e giustizia quale titolare del trattamento dei dati che nell´ambito di un ufficio giudiziario sono connessi ai procedimenti penali, l´utilizzo delle informazioni al quale si riferisce il ricorso rientra tra quelli effettuati per ragioni di giustizia dagli uffici giudiziari.

Per questo tipo di trattamenti l´art.4 della legge n.675 del 1996 ha reso applicabili solo alcune disposizioni, in attesa che, entro il 31 luglio 1999, il Governo emani il previsto decreto legislativo con alcune norme integrative in materia. Fra le norme attualmente applicabili ai trattamenti di dati per fini di giustizia non sono comprese né quelle riguardanti i diritti di accesso alle banche dati, integrazione, rettifica e cancellazione dei dati (art.13) né quelle in materia di ricorsi al Garante (art.29).In caso di violazione di queste norme è quindi possibile inviare all´Autorità una segnalazione o un reclamo ma non è possibile proporre un ricorso.

Diverso il caso del CED del Dipartimento di P.S., al quale l´interessato può accedere direttamente, e del casellario giudiziale per il quali l´accesso è regolato da procedure specifiche.

L´Autorità ha sottolineato che va operata una netta distinzione tra i dati e le informazioni inserite negli archivi del CED del Dipartimento di P.S e la mera conservazione di dati ed atti presso un ufficio giudiziario per ragioni di archivio o di documentazione dei procedimenti esauritisi.

Nel CED e nel casellario giudiziale la posizione del ricorrente risulta opportunamente aggiornata perché, a seguito dell´archiviazione del reato, a carico dell´interessato non risulta più nulla.

Diverso il caso degli uffici giudiziari, dove per ragioni di archivio e documentazione deve rimanere traccia storica dei procedimenti. Tale permanenza non comporta affatto conseguenze pratiche negative per i concorsi pubblici e per il rilascio di documenti, come asserito dal ricorrente, perché è la posizione nel casellario che, in determinati casi, può essere richiesta in occasione di concorsi, colloqui di assunzione ecc.

Le rilevazioni delle presenze con il badge sono dati personali

Anche le rilevazioni effettuate mediante "badge" magnetico e conservate in un archivio informatico costituiscono dati personali e possono essere oggetto di una richiesta di accesso.

E´ quanto ha affermato il Garante nella decisione con la quale ha accolto il ricorso di un dipendente di un ente pubblico che aveva presentato alla propria amministrazione, senza ottenere soddisfazione, la richiesta di avere il riepilogo dei dati riferiti alle proprie presenze presso un istituto di ricerca, ai cui accessi era stata appunto installata da alcuni mesi un´apparecchiatura di rilevamento magnetico.

L´amministrazione aveva in un primo momento negato l´accesso ai dati adducendo motivi tecnici che poi, nel corso dell´istruttoria, si sono rivelati insussistenti.

Il Garante ha affermato che la legge n.675 del 1996 obbliga il gestore della banca dati a fornire senza ritardo un compiuto riscontro alla richiesta di accesso presentata dall´interessato e mettere a disposizione i dati: nel caso specifico, quelli riguardanti l´entrata e l´uscita rilevati tramite badge magnetico, che l´interessato ha diritto di conoscere.

Va ricordato che per la legge n.675, il concetto di dato personale è particolarmente ampio e comprende qualunque informazione che può scaturire da dati alfanumerici, immagini, suoni a prescindere dal supporto che contiene i dati (carta, dischetto) e dalla forma in cui essi sono trattati (informazioni cifrate, digitali ecc.). Anche le registrazioni informatiche degli accessi sono, pertanto, da considerarsi dati personali.

Ritardi nell´accordo sui dati UE
(articolo pubblicato sul Financial Times del 1 giugno)

Nuove difficoltà insorte nei colloqui fra UE e USA sulla controversa normativa UE in materia di protezione dei dati significano che probabilmente non si arriverà ad un accordo in tempo per il vertice UE-USA del 21 giugno - secondo quanto riferito ieri da funzionari di Bruxelles.

I negoziati della scorsa settimana fra John Mogg, commissario UE per il mercato interno, e David Aaron, sottosegretario USA per il commercio, hanno mostrato che le due parti sono ancora lontane dalla soluzione di una controversia che potrebbe incidere gravemente sul trasferimento di dati personali fra imprese operanti sulle due sponde dell´Atlantico.

I negoziati hanno permesso di compiere notevoli progressi su due punti di importanza fondamentale per l´UE: i diritti delle persone di accedere ai dati che li riguardano in possesso delle imprese, e l´introduzione di

una forma di arbitrato indipendente in caso di controversie.

Tuttavia, sono sorti nuovi dubbi sulla capacità del sistema di autodisciplina vigente negli USA di soddisfare gli standard della direttiva; in particolare, gli USA temono che le imprese rifiutino di aderire al sistema su base volontaria dei "porti sicuri" che essi hanno proposto al fine di fornire una protezione adeguata ai dati provenienti dall´UE.

Il sistema dei "porti sicuri" prevede un insieme di principi ai quali le imprese sarebbero invitate ad aderire. Il Ministero del Commercio USA terrebbe un elenco dei soggetti che avessero deciso di partecipare all´iniziativa. L´UE non ha obiezioni di massima rispetto a tale approccio, purché esso garantisca la tutela dei dati provenienti dall´UE. In caso contrario, c´è il rischio che le autorità nazionali di protezione dei dati nei 15 Stati membri utilizzino i diritti riconosciuti loro dalla direttiva per congelare il flusso di dati personali verso Paesi terzi che non offrano una protezione "adeguata".

Le imprese USA sono fortemente contrarie a norme di legge in materia di protezione dati, ma erano apparse disponibili a seguire il principio del "porto sicuro"; invece persiste una certa ostilità anche nei confronti di questo approccio su base volontaria.

UE ed USA litigano anche sul periodo di cui le imprese dovrebbero disporre per mettersi in regola con le condizioni previste dal sistema del "porto sicuro". Gli USA vorrebbero che tale periodo arrivasse a 2 anni, mentre l´UE preme per un termine massimo di sei mesi. Benché la direttiva sia in vigore dallo scorso mese di ottobre, è ancora in via di recepimento da parte degli Stati membri.

Sinora non si sono avute gravi ripercussioni sui trasferimenti di dati, ma la Commissione teme che ben presto gruppi di pressione e studi legali inizino a smuovere le acque. La Commissione afferma di non poter garantire agli USA che i dati continueranno a circolare liberamente sulle due sponde dell´Atlantico mentre proseguono i colloqui.

L´accordo finale deve essere sostenuto dalla maggioranza qualificata dei 15 Stati membri dell´UE. Ma si prevedono problemi con alcuni Paesi, come l´Italia ed alcuni Paesi scandinavi, che adottano un approccio rigido alla protezione dei dati.